KÖZIGAZGATÁSI INFORMATIKAI BIZOTTSÁG. 25. számú Ajánlása. Magyar Informatikai Biztonsági Ajánlások (MIBA)

KÖZIGAZGATÁSI INFORMATIKAI BIZOTTSÁG

25. számú Ajánlása Magyar Informatikai Biztonsági Ajánlások (MIBA) 25/1. Magyar Informatikai Biztonsági Keretrendszer (MIBIK) 25/1-3. kötet Az Informatikai Biztonság Irányításának Vizsgálata (IBIV) 1.0 verzió

2008. június

Az informatikai biztonság irányításának vizsgálata Közigazgatási Informatikai Bizottság 25. számú Ajánlása Készült a Miniszterelnöki Hivatal megbízásából Összeállította: Muha Lajos PhD, CISM Közremőködött: Balázs István CSc, Déri Zoltán, Lobogós Katalin, Muha Lajos PhD, CISM, Nyíry Géza CSc, CISM, Sneé Péter, Váncsa Julianna PhD.

Az ajánlás a Közigazgatási Informatikai Bizottság (KIB) Jogi és Mőszaki Szabályozási Albizottsága észrevételei alapján véglegesített tartalommal a KIB tagjainak 2008. május-júniusi elektronikus távszavazása alapján került elfogadásra

2

Magyar Informatikai Biztonság Irányítási Követelményrendszer

Az informatikai biztonság irányításának vizsgálata

TARTALOMJEGYZÉK

ELİSZÓ

10

1. AZ INFORMATIKAI BIZTONSÁGI IRÁNYÍTÁSI RENDSZER FOLYAMATAINAK VIZSGÁLATA.........................................................................................................................12 1.1. AZ INFORMATIKAI BIZTONSÁGI IRÁNYÍTÁSI RENDSZER LÉTESÍTÉSÉNEK VIZSGÁLATA.................................................................................12 1.1.1. Informatikai Biztonsági Irányítási Rendszer meghatározásának, dokumentáltságának vizsgálata ............................................................................12 1.1.2. Informatikai Biztonsági Irányítási Rendszer feladatkörének, kiterjedésének vizsgálata .......................................................................................13 1.1.3. Informatikai Biztonságpolitika hatáskörének vizsgálata .........................13 1.1.4. Informatikai Biztonságpolitika használhatóságának, irányító szerepének vizsgálata ............................................................................................14 1.1.5. Informatikai Biztonságpolitika törvényi megfelelıségének vizsgálata .15 1.1.6. Az informatikai biztonságpolitika támogatottságának, elfogadottságának vizsgálata ................................................................................16 1.1.7. Kockázatkezelési eljárás megfelelıségének vizsgálata.........................17 1.1.8. Az IBIR kockázat kezelési, csökkentési céljainak vizsgálata ................17 1.1.9. Az elviselhetı kockázatok meghatározásának vizsgálata .....................18 1.1.10. A kockázatok azonosítására használt eljárások vizsgálata.................18 1.1.11. Kockázatelemzési módszer használatának vizsgálata ........................18 1.1.12. A kockázatkezelési lehetıségek azonosítása, kiértékelése................19 1.1.13. A kockázatkezelési intézkedés tárgyának és céljának kiválasztása..20 1.1.14. Alkalmazhatósági nyilatkozat meglétének és helyességének vizsgálata ..................................................................................................................20 1.1.15. A maradék kockázat elfogadásának és az IBIR megvalósításának vizsgálata. .................................................................................................................21 1.2. AZ INFORMATIKAI BIZTONSÁG IRÁNYÍTÁSI RENDSZER MEGVALÓSÍTÁSA ÉS ÜZEMELTETÉSE..................................................................22 1.2.1. Informatikai biztonsági képzések vizsgálata ............................................22 1.2.2. Az üzemeltetést támogató IBIR módszerek, eljárások vizsgálata........23 1.2.3. Az anyagi erıforrások kezelését irányító IBIR módszerek, eljárások vizsgálata ..................................................................................................................23 1.2.4. Biztonsági eseménykezelı módszerek, eljárások meglétének vizsgálata ..................................................................................................................24 1.3. INFORMATIKAI BIZTONSÁGI IRÁNYÍTÁSI RENDSZER ELLENİRZÉSE ÉS FELÜLVIZSGÁLATA ...............................................................................................25 1.3.1. Az IBIR hatékonyságát folyamatosan felülvizsgáló eljárások meglétének vizsgálata ............................................................................................25 1.3.2. A maradék kockázati szintek szervezeti felülvizsgálatának elemzése 26 1.3.3. Idıszakosan tervezett és lefolytatott IBIR vizsgálatok meglétének vizsgálata ..................................................................................................................27 1.3.4. IBIR szabályozási tevékenységének felülvizsgálatára megvalósított eljárások megléte.....................................................................................................27 Magyar Informatikai Biztonság Irányítási Követelményrendszer

3

Az informatikai biztonság irányításának vizsgálata 1.3.5. Az IBIR idıszakos hatékonysági vizsgálata ............................................ 28 1.4. INFORMATIKAI BIZTONSÁGI IRÁNYÍTÁSI RENDSZER FEJLESZTÉSE ÉS KARBANTARTÁSA........................................................................................................ 29 1.5. DOKUMENTÁCIÓ KÖVETELMÉNYEI ............................................................... 30 1.5.1. A dokumentumok kezelése ........................................................................ 31 1.5.2. Okmányok, jegyzıkönyvek kezelése........................................................ 32 1.5.3. Vezetıi felelısség........................................................................................ 32 1.5.4. Erıforrások kezelése................................................................................... 33 1.5.5. Felelısségi körök megállapításának a vizsgálata .................................. 34 1.5.6. A felhasználói felelısség és tudatosság vizsgálata ............................... 35 1.6. AZ INFORMATIKAI BIZTONSÁGI IRÁNYÍTÁSI RENDSZER VEZETİI FELÜLVIZSGÁLATA ..................................................................................................... 36 1.6.1. Általános követelmények vizsgálata ......................................................... 36 1.6.2. A bemeneti adatok felülvizsgálata............................................................. 36 1.6.3. A kimeneti adatok felülvizsgálata .............................................................. 37 1.6.4. Az Informatikai Biztonsági Irányítási Rendszer belsı ellenırzése ...... 38 1.7. AZ INFORMATIKAI BIZTONSÁGI IRÁNYÍTÁSI RENDSZER FEJLESZTÉSE ........................................................................................................................................... 40 1.7.1. Javító intézkedések végrehajtásának vizsgálata.................................... 40 1.7.2. Megelızı tevékenységek vizsgálata ........................................................ 41 2. BIZTONSÁGI INTÉZKEDÉSEK VIZSGÁLATA.......................................................... 42 2.1. BIZTONSÁGPOLITIKA.......................................................................................... 42 2.1.1. Az informatikai biztonság dokumentumai................................................. 42 2.1.1.1. Az informatikai biztonságpolitika................................................................. 42 2.1.1.3. Az informatikai Biztonsági Szabályzat ....................................................... 43

2.1.2. Felülvizsgálat és fejlesztés ......................................................................... 44 2.2. SZERVEZETI BIZTONSÁG.................................................................................. 45 2.2.1. Az informatikai biztonság belsı szervezeti struktúrája .......................... 45 2.2.1.1. Vezetıi elkötelezettség ................................................................................ 45 2.2.1.2. Az informatikai biztonság és a szerveti struktúra összehangolása ....... 46 2.2.1.3. Az informatikai biztonsági feladatok megosztása .................................... 46 2.2.1.4. Az adatfeldolgozás engedélyezési eljárásai ............................................. 47 2.2.1.5. Titoktartási nyilatkozatok.............................................................................. 47 2.2.1.6. Együttmőködés külsı szervezetekkel, hatóságokkal .............................. 48 2.2.1.7. Együttmőködés különféle szakmai és információvédelmi szervezetekkel ........................................................................................................................................ 49 2.2.1.8. Az informatikai biztonság független felülvizsgálata.................................. 49 2.2.1.8.1. Informatikai biztonsági tanácsadás ......................................................... 50

2.3.1. Elıírások a külsı személyek által történı hozzáférésekkel kapcsolatban............................................................................................................ 51 2.3.1.1. A külsı személyek által történı hozzáférések kockázatai...................... 51 2.3.1.3. Informatikai biztonsági követelmények a harmadik személlyel kötött szerzıdésekben........................................................................................................... 51

2.3.2. Vállalkozásba adás...................................................................................... 52 2.3.2.1. Informatikai biztonsági követelmények a harmadik személlyel kötött szerzıdésekben........................................................................................................... 52

2.4. AZ ESZKÖZÖK BIZTONSÁGI BESOROLÁSA ÉS ELLENİRZÉSE ............ 54 2.4.1. Számadási kötelezettségek az eszközökkel kapcsolatban................... 54 2.4.1.1. Eszköz- és vagyonleltár ............................................................................... 54

2.4.2. Az adatok biztonsági osztályozása ........................................................... 55 4


Az informatikai biztonság irányításának vizsgálata 2.4.2.1. Az osztályozás irányelvei............................................................................. 55 2.4.2.2. Az adatok minısítése, címkézése és kezelése........................................ 56

2.5. SZEMÉLYI BIZTONSÁG .......................................................................................57 2.5.1. Az alkalmazás elıtt ......................................................................................57 2.5.1.1. Informatikai biztonság a felvételnél és a munkaköri leírásokban .......... 57 2.5.1.2. A személyzet biztonsági átvilágítása és a személyzeti politika ............. 58 2.5.1.3. A foglalkoztatás feltételei ............................................................................. 59

2.5.2. Az alkalmazás alatt ......................................................................................59 2.5.2.2. Az informatikai biztonsági oktatás és képzés ........................................... 60 2.5.2.3. Fegyelmi eljárás ............................................................................................ 60

2.6. FIZIKAI ÉS KÖRNYEZETI BIZTONSÁG ............................................................62 2.6.1. Biztonsági szegmensek...............................................................................62 2.6.1.1. Biztonsági határok ........................................................................................ 62 2.6.1.2. Beléptetési intézkedések ............................................................................. 62 2.6.1.3. Létesítmények és helyiségek biztonsága.................................................. 63 2.6.1.5. Munkavégzés a biztonsági szegmensekben ............................................ 64 2.6.1.6. A kiszolgáló területek és raktárak biztonsági elkülönítése ..................... 65

2.6.2. A berendezések fizikai védelme.................................................................66 2.6.2.1. A mőszaki berendezések elhelyezése és védelme ................................. 66 2.6.2.2. Energiaellátás................................................................................................ 67 2.6.2.3. A kábelezés biztonsága ............................................................................... 67 2.6.2.4. A berendezések karbantartása................................................................... 68 2.6.2.5. A telephelyen kívüli berendezések védelme ............................................ 69 2.6.2.6. A berendezések biztonságos tárolása és újrafelhasználása ................. 70

2.7. SZÁMÍTÓGÉPES HÁLÓZATI SZOLGÁLTATÁSOK ÉS AZ ÜZEMELTETÉS MENEDZSMENTJE........................................................................................................72 2.7.1. Üzemeltetési eljárások és felelısségek....................................................72 2.7.1.1. Az üzemeltetési eljárások dokumentációja ............................................... 72 2.7.1.2. Változásmenedzsment................................................................................. 73 2.7.1.3. A feladatkörök elhatárolása......................................................................... 73 2.7.1.4. A fejlesztési és az üzemeltetési feladatok szétválasztása ..................... 74 2.7.1.5. Külsı létesítmények üzemeltetése............................................................. 75

2.7.3. Informatikai rendszerek tervezése és átvétele ........................................76 2.7.3.1. Kapacitástervezés......................................................................................... 76 2.7.3.2. A rendszer átvétele....................................................................................... 77

2.7.4. Védelem rosszindulatú programok ellen...................................................77 2.7.4.1. A rosszindulatú programokat ellenırzı eszközök ................................... 78

2.7.6. Hálózatmenedzsment ..................................................................................79 2.7.6.1. Hálózatbiztonsági intézkedések ................................................................. 79 2.7.6.2. Hálózati szolgáltatások biztonsága ............................................................ 79

2.7.7. Az adathordozók biztonságos kezelése ...................................................80 2.7.7.1. Hordozható adathordozók kezelése .......................................................... 81 2.7.7.1.1. Az adathordozók tárolása......................................................................... 81 2.7.7.3. Adatkezelési eljárások.................................................................................. 82 2.7.7.4. A rendszerdokumentációk biztonsága....................................................... 83

2.7.8. Adatok és programok cseréje.....................................................................83 2.7.8.2. Megállapodások az adatok és programok cseréjérıl.............................. 84 2.7.8.3. Adathordozók szállítása............................................................................... 84 2.7.8.4. Az elektronikus levelezés biztonsága ........................................................ 85 2.7.8.4.1. Biztonsági kockázatok .............................................................................. 85 2.7.8.4.2. Az elektronikus levelezés irányelvei ....................................................... 86 2.7.8.5. Üzleti információs rendszerek..................................................................... 86

2.7.9. Az elektronikus kereskedelem biztonsága ...............................................87 Magyar Informatikai Biztonság Irányítási Követelményrendszer

5

Az informatikai biztonság irányításának vizsgálata 2.7.9.3. Nyilvános rendszerek biztonsága ............................................................... 88

2.7.10. A biztonsági megfigyelı rendszer használata....................................... 88 2.7.10.1. Biztonsági események naplózása ............................................................ 89 2.7.10.2. A rendszerhasználat megfigyelése .......................................................... 90 2.7.10.2.1. Kockázati tényezık.................................................................................. 90 2.7.10.2.2. Az eseménynaplózás értékelése........................................................... 91 2.7.10.6. Rendszerórák szinkronizálása .................................................................. 92

2.8. HOZZÁFÉRÉS MENEDZSMENT........................................................................ 93 2.8.1. A hozzáférés ellenırzés üzleti követelményei ........................................ 93 2.8.1.1. A hozzáférés ellenırzés szabályai ............................................................. 93 2.8.1.1.1. Hozzáférés ellenırzési szabályzat.......................................................... 94

2.8.2. A felhasználói hozzáférés menedzsmentje ............................................. 94 2.8.2.1. A felhasználó regisztrációja ......................................................................... 94 2.8.2.2. A jogosultságok kezelése ............................................................................ 95 2.8.2.3. A felhasználói jelszavak kezelése .............................................................. 96 2.8.2.4. A felhasználó hozzáférési jogosultságainak ellenırzése........................ 96

2.8.3. A felhasználó feladatai, felelısségei......................................................... 97 2.8.3.1. Jelszó használat ............................................................................................ 97 2.8.3.2. Felügyelet nélküli berendezések................................................................. 98

2.8.4. A hálózati szintő hozzáférések menedzsmentje ..................................... 99 2.8.4.1. A hálózati szolgáltatások használatának irányelvei................................. 99 2.8.4.1.1. Kötelezı hozzáférési útvonal ................................................................. 100 2.8.4.2. Felhasználó azonosítás és hitelesítés távoli kapcsolatnál.................... 100 2.8.4.3. Hálózati eszközök, munkaállomások azonosítása és hitelesítése ...... 101 2.8.4.4. A távdiagnosztikai portok védelme........................................................... 102 2.8.4.5. A hálózatok biztonsági szegmentálása.................................................... 103 2.8.4.6. A hálózatra történı csatlakozások ellenırzése ...................................... 103 2.8.4.7. A hálózati útvonal kiválasztások ellenırzése.......................................... 104

2.8.5. Az operációs rendszer szintő hozzáférések ellenırzése .................... 105 2.8.5.1. Biztonságos hitelesítési, bejelentkezési eljárások ................................. 105 2.8.5.1.1. Munkaállomások automatikus azonosítása, hitelesítése................... 105 2.8.5.1.2. Biztonságos bejelentkezési eljárások ................................................... 106 2.8.5.2. A felhasználó azonosítása, hitelesítése................................................... 107 2.8.5.3. Jelszómenedzsment rendszer................................................................... 108 2.8.5.4. Rendszer segédprogramok használata ................................................... 108 2.8.5.5. Kapcsolati idıtúllépés................................................................................. 109 2.8.5.6. Kapcsolati idıkorlátozás ............................................................................ 110 2.8.5.7. Támadás-riasztás........................................................................................ 110

2.8.6. Alkalmazás szintő hozzáférések vezérlése ........................................... 111 2.8.6.1. Az adatelérés szabályozása...................................................................... 111 2.8.6.2. Érzékeny adatokat kezelı rendszer elkülönítése................................... 112

2.8.7. Mobil informatikai tevékenység, távmunka ............................................ 113 2.8.7.1. Mobil informatikai tevékenység................................................................. 113 2.8.7.2. A távmunka .................................................................................................. 114

2.9. AZ INFORMATIKAI RENDSZEREK FEJLESZTÉSE ÉS KARBANTARTÁSA ......................................................................................................................................... 116 2.9.1. Az informatikai rendszerek informatikai biztonsági követelményei.... 116 2.9.1.1. A biztonsági követelmények elemzése és meghatározása .................. 116

2.9.2. Biztonság az alkalmazói rendszerekben................................................ 117 2.10.2.1. A bemenı adatok hitelesítése................................................................. 117 2.9.2.2. Az adatfeldolgozás ellenırzése ................................................................ 118 2.9.2.2.1. Veszélyeztetett területek......................................................................... 119 2.9.2.2.2. Vezérlı és ellenırzı eljárások ............................................................... 119

6


Az informatikai biztonság irányításának vizsgálata 2.9.2.3. Az üzenetek hitelesítése............................................................................ 120 2.9.2.4. A kimenı adatok hitelesítése .................................................................... 121

2.9.3. Kriptográfiai eszközök................................................................................121 2.9.3.1. A kriptográfiai eszközök alkalmazásának irányelvei ............................. 121 2.9.3.1.1. Rejtjelzés................................................................................................... 122 2.9.3.1.2. Elektronikus aláírás ................................................................................. 123 2.9.3.1.3. Szolgáltatások a le nem tagadhatóság érdekében ............................ 124 2.9.3.2. Kulcsmenedzsment .................................................................................... 124 2.9.3.2.1. A kriptográfiai kulcsok védelme............................................................. 125 2.9.3.2.2. Szabványok, eljárások, módszerek ...................................................... 125

2.9.4. Rendszerállományok védelme .................................................................127 2.9.4.1. Az operációs rendszer ellenırzése .......................................................... 127 2.9.4.2. A rendszervizsgálati (teszt) adatok védelme .......................................... 128 2.9.4.3. A program forráskönyvtárhoz való hozzáférés ellenırzése ................. 128

2.9.5. Informatikai biztonság a fejlesztési és a karbantartási folyamatokban ..................................................................................................................................129 2.9.5.1. Változásmenedzsment............................................................................... 129 2.9.5.2. Az operációs rendszer megváltoztatásával kapcsolatos ellenırzések130 2.9.5.3. A szoftvercsomagok megváltoztatásának korlátozása ......................... 131 2.9.5.4. A rendszerinformációk kiszivárgásának megakadályozása................. 132 2.9.5.5. A programfejlesztés kihelyezése .............................................................. 133

2.10. AZ INFORMATIKAI BIZTONSÁGI INCIDENSEK KEZELÉSE....................135 2.10.1. Biztonsági események és biztonsági rések jelentése ........................135 2.10.1.1. A biztonsági események jelentése......................................................... 135 2.10.1.2. Biztonsági rések, gyenge pontok jelentése .......................................... 135 2.10.1.2.1. Programhibák jelentése........................................................................ 136 2.10.2.2. Okulás az informatikai biztonsági incidensekbıl ................................. 137 2.10.2.3. Bizonyítékok győjtése, védelme ............................................................. 137 2.10.2.3.3. A bizonyítékok minısége és hiánytalan volta ................................... 138

2.11. ÜZLETMENET-FOLYTONOSSÁG MENEDZSMENT ..................................140 2.11.1. Az üzletmenet-folytonosság menedzsment informatikai biztonsági szempontjai.............................................................................................................140 2.11.1.1. Az informatikai biztonsági szempontok érvényesítése az üzletmenetfolytonosság irányításában ...................................................................................... 141 2.11.1.3. Az üzletmenet-folytonossági terv kidolgozása ..................................... 141 2.11.1.4. Az üzletmenet-folytonosság tervezési keretrendszere ....................... 142 2.11.1.5. Az üzletmenet-folytonossági tervek vizsgálata, karbantartása és újraértékelése............................................................................................................. 143

2.12. MEGFELELÉS A JOGSZABÁLYOKNAK ÉS A BELSİ BIZTONSÁGI SZABÁLYZATOKNAK..................................................................................................145 2.12.1. A jogszabályi elıírások betartása..........................................................145 2.12.1.1. A vonatkozó jogszabályok behatárolása............................................... 145 2.12.1.2.1. Szerzıi jogok.......................................................................................... 145 2.12.1.2.1. Szoftver szerzıi jogok........................................................................... 146 2.12.1.3. A szervezet adatainak biztonsága ......................................................... 147 2.12.1.4. Személyes adatok védelme .................................................................... 148 2.12.1.5. Az adatvédelmi eszközökkel elkövethetı visszaélések megelızése 149 2.12.1.6. A kriptográfiai eszközök kezelésének szabályozása .......................... 150

2.12.2. Az informatikai biztonságpolitikának és a mőszaki követelményeknek való megfelelés ......................................................................................................151 2.12.2.1. Az informatikai biztonsági elıírásoknak való megfelelés ................... 151 2.12.2.2. A mőszaki követelményeknek való megfelelés.................................... 152

2.12.3. Az informatikai rendszerek biztonsági ellenırzésének szempontjai 152 Magyar Informatikai Biztonság Irányítási Követelményrendszer

7

Az informatikai biztonság irányításának vizsgálata 2.12.3.1. Rendszerauditálási intézkedések ........................................................... 152 2.12.3.2. Rendszerauditáló eszközök védelme .................................................... 153

3. AZ INFORMATIKAI RENDSZER BIZTONSÁGÁNAK VIZSGÁLATA (KOCKÁZATELEMZÉS).................................................................................................... 155 3.1. INFORMÁLIS KOCKÁZATELEMZÉS (KOCKÁZATBECSLÉS), KOCKÁZATKEZELÉS ................................................................................................. 160 VEZETİI ÖSSZEFOGLALÓ............................................................................... 160 BEVEZETÉS.......................................................................................................... 169 1.1 A kockázatkezelés fogalma és célja ........................................................................ 169 1.2 Jelen módszertani útmutató célja és hatóköre........................................................ 170 1.3 A módszertani útmutató felépítése.......................................................................... 171

2. A KOCKÁZATKEZELÉS ÁTTEKINTÉSE ..................................................... 172 2.1 A kockázatkezelés fontossága................................................................................. 172 2.2 A kockázatkezelés beépítése a rendszerek életciklusába ........................................ 172 2.3 Fontosabb szerepkörök........................................................................................... 173

3. KOCKÁZATBECSLÉS ..................................................................................... 175 1. lépés - A rendszer leírása ......................................................................................... 176

A VESZÉLYTÉNYEZİK FELTÁRÁSA ....................................................... 177 2. lépés - A veszélyforrások meghatározása................................................................. 177 3. lépés - A sebezhetıségek meghatározása ................................................................. 179 4. lépés - Az óvintézkedések elemzése........................................................................... 180 5. lépés – A valószínőségek meghatározása ................................................................. 182 6. lépés - Hatáselemzés ................................................................................................ 183 7. lépés - A kockázati szint meghatározása .................................................................. 186 8. lépés – Javaslat óvintézkedésekre ............................................................................ 187 9. lépés – Az eredmények dokumentálása..................................................................... 188 Kockázatbecslés a rendszer életciklusa során.............................................................. 189

4. A KOCKÁZATOK CSÖKKENTÉSE............................................................... 189 4.1 A kockázatcsökkentés megközelítési módjai ........................................................... 190 4.2 A kockázatcsökkentés áttekintése ........................................................................... 191 4.3 Az óvintézkedések megvalósítása ........................................................................... 192 4.4 Költség-haszon elemzés.......................................................................................... 199 4.5 Maradványkockázat................................................................................................ 201 4.6 Kockázatcsökkentés a rendszer életciklusa során .................................................. 202

5 ÉRTÉKELÉS ÉS FELÜLVIZSGÁLAT............................................................. 203 6. AZ ELEKTRONIKUS KÖZIGAZGATÁSI SZOLGÁLTATÁSOKAT MEGALAPOZÓ INFORMÁCIÓK ÉS INFORMATIKAI CÉLRENDSZEREK BIZTONSÁGI KATEGORIZÁLÁSA .................................................................... 204 6.1 Biztonsági célok és kihatás szintek ......................................................................... 204 6.2 Információ típusok biztonsági kategorizálása........................................................ 207 6.3 Informatikai rendszerek biztonsági kategorizálása................................................ 208

TERMINOLÓGIA................................................................................................... 212 3.2. RÉSZLETES KOCKÁZATELEMZÉS ................................................................ 214 A módszertan szakaszainak és lépéseinek részletes leírása..................................... 215 I. szakasz: a védelmi igény feltárása........................................................................ 220 1. lépés: Az informatika-alkalmazások és a feldolgozandó adatok feltérképezése ............................................................................................................ 222 2. lépés: Az informatika-alkalmazások és a feldolgozandó adatkörök érzékenységi értékeinek meghatározása .............................................................. 224

II. szakasz: fenyegetettség elemzés ......................................................................... 228 3. lépés: A fenyegetett rendszerelemek feltérképezése...................................... 230 4. lépés: Az alapfenyegetettség meghatározása.................................................. 233

8


Az informatikai biztonság irányításának vizsgálata 5. lépés: A fenyegetı tényezık meghatározása...............................................235 III. szakasz: kockázatelemzés...................................................................................237 6. lépés: A károk értékeinek meghatározása........................................................ 239 7. lépés: Az alapfenyegettségek okozta károk gyakoriságának meghatározása ...................................................................................................................................... 241 8. lépés: A fennálló kockázatok meghatározása és leírása................................ 244

IV. szakasz: kockázatmenedzselés ...........................................................................248 9. lépés: Az intézkedések kiválasztása.................................................................. 250 10. lépés: Az intézkedések értékelése................................................................... 252 11. lépés: A költség/haszon arány elemzése........................................................ 256 12. lépés: A maradványkockázat elemzése.......................................................... 258 13. lépés: Akcióterv kidolgozása............................................................................. 260

Az informatikai biztonsági vizsgálati dokumentum tartalmi felépítése ..........260 Segédletek ..............................................................................................................262 Tipikus informatika-alkalmazások és azok alapfenyegetettségi kérdései ........ 262 Kárkövetkezmények és azok értékelési rendszere.............................................. 266 Az informatikai rendszer elemeinek csoportosítása ............................................ 272 Gyenge pontok........................................................................................................... 286 Fenyegetések............................................................................................................. 290 Kockázat minısítési segédletek.............................................................................. 297


9


Elıszó

Az információ az innováció legfontosabb forrásává vált, jelentıs részét képezve a különbözı szervezetek vagyonának. Ezzel együtt a számítógépeken tárolt, továbbított adatok védelme is új értelmezést nyert. Az informatika fejlıdésével párhuzamosan az információk megvédésének technológiája is mind tökéletesebb lett. Ehhez a folyamathoz kapcsolódóan a szervezeti szintő informatikai biztonság létrehozása és mőködtetése támogatására a Közigazgatási Informatikai Bizottság kiadta a Magyar Informatikai Biztonsági Ajánlások – Magyar Informatikai Biztonság Irányítási Keretrendszer részét képzı Informatikai Biztonság Irányítási Rendszer (IBIR) és az Informatikai Rendszerek Irányítási Követelmények (IBIK) címő dokumentumokat. Az IBIR és az IBIK elsısorban az ISO/IEC 27000 szabványsorozatra épül, amelyet a világ és különösen az Európai Unió mind több országában fogadnák el a különbözı szervezetek informatikai biztonságmenedzsmentjük alapelveként. A szervezetek vezetése és belsı ellenırzı szervezetei által végrehajtott ellenırzések mellett a nemzetközi és a hazai gyakorlatban is egyre jobban terjed – megfelelı felkészülés után – a -ISO/IEC 27001 szabványnak való megfelelést bizonyító audit elvégzése. Az Informatikai Biztonsági Irányítási Rendszer (IBIR) egy általános irányítási rendszer, amely megvalósítja, üzemelteti, ellenırzi, karbantartja és javítja a szervezet informatikai biztonságát. Az irányítási rendszer magában foglalja a szervezetet, a struktúrát, a szabályzatokat, a tervezési tevékenységeket, a felelısségeket, a gyakorlatokat, az eljárásokat, a folyamatokat és az erıforrásokat. Az informatikai biztonság kezelésének hatékonyabbá tétele érdekében szükség van a követelmények és feladatok szakmailag egységes kezelésére, amely bizalmat teremthet a különbözı szervezetek között az informatikai rendszerek biztonságát illetıen. A szervezeti szintő informatikai biztonság követelményei, az IBIK az ISO/IEC 27002:2005 és az ISO/IEC TR 13335 nemzetközi szabványok, továbbá a NATO1

és az Európai Unió2 releváns

szabályozásai figyelembe vételével készültek. 1 2

(Security within the North Atlantic Treaty Organisation (NATO) – C-M(2002)49 Európai Unió Tanácsának Biztonsági Szabályzata (2001/264/EK)

10


Az informatikai biztonság irányításának vizsgálata Az informatikai biztonsági rendszer kialakításának legjobb gyakorlatán túl – elsısorban a menedzsment részére – azt is meg kell határozni, hogy melyek azok a feltételek, követelmények, amelyeket teljesíteni kell a szabványnak való megfeleléshez. Ezek alapján egy belsı auditor vagy külsı tanúsító egyértelmően el tudja dönteni, hogy az adott szervezet informatikai biztonsági rendszere megfelel-e a szabványnak vagy sem. Ez a módszertan részletes elıírásokat ad az informatikai biztonság irányításának vizsgálatához és tanúsításához a vizsgálatot végzıknek és az arra felkészülıknek egyaránt. Az Informatikai Biztonság Irányítási Rendszer folyamatainak vizsgálata (1. rész) és a biztonsági intézkedések vizsgálata (2. rész) lefedi az ISO/IEC 27001 szabvány szerinti tanúsításhoz szükséges vizsgálati eljárás (audit) során vizsgálandó kérdéseket. A kockázatelemzéshez, kockázatkezeléshez két módszertan kerül bemutatásra. Az elsı eljárásrend a NIST SP 800-303 és a FIPS 1994 dokumentumokon alapuló módszertan. Ez a módszertan viszonylag egyszerő, kis idı- és erıforrás igényő kockázatbecslést tesz lehetıvé. A másik bemutatott eljárásrend egy CRAMM5 alapú módszertan, amely MeH ITB 8. számú ajánlása (Informatikai biztonsági módszertani kézikönyv) alapján, annak aktualizálásával készült kockázatelemzési módszertan. A CRAMM módszertan egy részletes, az egyes fenyegetések kockázatait feltáró eljárás, azonban idı- és erıforrás igénye nagy – ezért költséges.

3

NIST Special Publication 800-30, Risk Management Guide, 2001 – Kockázatkezelési Útmutató. NIST – National Institute of Standard and Technology, USA

4

FIPS 199 Standards for Security Categorization of Federal Information and Information Systems, 2004 – . FIPS – Federal Information Processing Standards Publication, USA 5

CCTA Risk Analysis and Management Method – CCTA Kockázatelemzési és Kezelési Módszertan. CCTA – Central Computer and Telecommunications Agency (Központi Számítógép és Távközlési Ügynökség)


11


1. Az Informatikai Biztonsági Irányítási Rendszer folyamatainak vizsgálata 1.1. Az Informatikai Biztonsági Irányítási Rendszer létesítésének vizsgálata A vizsgálat lefedi az Informatikai Biztonság Irányítási Rendszer (IBIR) folyamatait. Ezek a folyamatok lefedik a teljes tevékenységi ciklust, megcélozva az informatikai biztonság hatékony irányítását egy folytonos fejlesztési programon keresztül. Ez az ún. „PDCA” modell: Plan / Tervezés (Informatikai Biztonság Irányítási Rendszer tervezése). Do / Végrehajtás (Informatikai Biztonság Irányítási Rendszer kialakítása). Check / Ellenırzés (Informatikai Biztonság Irányítási Rendszer ellenırzése). Act / Beavatkozás (Informatikai Biztonság Irányítási Rendszer karbantartása). 1.1.1. Informatikai Biztonsági Irányítási Rendszer meghatározásának, dokumentáltságának vizsgálata Vizsgálat tárgya: Informatikai Biztonsági Irányítási Rendszer meghatározásának, dokumentáltságának vizsgálata Vizsgálati szempontok: 1) Meg kell vizsgálni, hogy van-e olyan dokumentum a szervezetnél, amelyik egyértelmően leírja Informatikai Biztonsági Irányítási Rendszer mőködési körét. 2) Szabályzatok, dokumentációk begyőjtése, elemzése. 3) Személyes beszélgetések az idevágó feladatkörben ténykedı vezetıkkel és a munkatársakkal. Értékelés: •

Megfelel a követelménynek: Ha van ilyen dokumentum.

•

Részben megfelel a követelménynek: Ha van olyan dokumentum mely részben megfelel a követelménynek. (A helyzet akkor fordulhat elı, amikor már létezik ez a dokumentum, de nincs frissítve és tartalma eltér a jelenlegi állapottól. Ilyen esetben a vizsgálónak meg kell indokolnia, hogy a dokumentum mely részei nem felelnek meg a valóságnak.)

•

12

Nem felel meg a követelménynek: Ha nincs ilyen dokumentum.


Az informatikai biztonság irányításának vizsgálata 1.1.2. Informatikai Biztonsági Irányítási Rendszer feladatkörének, kiterjedésének vizsgálata Vizsgálat

tárgya:

Informatikai

Biztonsági

Irányítási

Rendszer

feladatkörének,

kiterjedésének vizsgálata Vizsgálati szempontok: 1) Meg kell vizsgálni Informatikai Biztonság Irányítási Rendszer (IBIR) feladatkörének kiterjedését, különös tekintettel azokra a biztonsági feladatokra melyek nem tartoznak bele az IBIR feladatkörébe, vagy nem meghatározottak, vagy nem dokumentáltak. 2) Szabályzatok, dokumentációk begyőjtése, elemzése. 3) Személyes beszélgetések a kérdéses feladatkörben ténykedı vezetıkkel és a munkatársakkal. 4) Annak megállapítása, hogy vannak-e jelentıs kivételek melyek nem tartoznak bele Informatikai Biztonság Irányítási Rendszer feladatkörébe és hogy van-e erre egyértelmő magyarázat. Értékelés: •

Megfelel a követelménynek: Ha minden informatikai biztonsággal kapcsolatos feladat definiált és dokumentált valamint az IBIR feladatkörébe van sorolva.

•

Részben megfelel a követelménynek: Ha minden informatikai biztonsággal kapcsolatos feladat definiált, de csak részben dokumentált és az IBIR feladatkörébe van sorolva. (Ha a szervezet a vizsgálat végéig pótolni tudja a hiányosságokat.)

•

Nem felel meg a követelménynek: Ha van olyan informatikai biztonsági feladat, amely kívül esik az IBIR feladat és hatáskörén, vagy ha az adott feladat egyáltalán nem definiált, vagy meg van határozva, de nem az IBIR feladatköréhez tartozik.

1.1.3. Informatikai Biztonságpolitika hatáskörének vizsgálata Vizsgálat tárgya: Informatikai Biztonságpolitika hatáskörének vizsgálata Vizsgálati szempontok: 1) Üzletágak, tevékenységi körök feltérképezése, vizsgálata: meg kell vizsgálni, hogy a különféle tevékenységeknél van-e meghatározott informatikai biztonsági szabályozás. 2) Meg kell vizsgálni, hogy a szervezetnél hatályban lévı Informatikai Biztonságpolitika Magyar Informatikai Biztonság Irányítási Követelményrendszer

13

Az informatikai biztonság irányításának vizsgálata naprakészségét, illetve azt, hogy lefedi-e az összes üzleti tevékenységet. 3) Szabályzatok, dokumentációk begyőjtése, elemzése. 4) Személyes beszélgetések az idevágó feladatkörben ténykedı vezetıkkel és a munkatársakkal. Értékelés: •

Megfelel a követelménynek: Ha a szervezetnél hatályban lévı Informatikai Biztonságpolitika lefedi a teljes tevékenységi kört, és minden tevékenységi terület mőködéséhez van elıírt, dokumentált informatikai biztonsági tevékenység.

•

Részben megfelel a követelménynek: Ha a szervezetnél hatályban lévı Informatikai Biztonságpolitika lefedi a legfontosabb tevékenységet, de csak a legfontosabb tevékenységi terület mőködéséhez van elıírt, dokumentált informatikai biztonsági tevékenység definiálva.

•

Nem felel meg a követelménynek: Ha nincs Informatikai Biztonságpolitika, és a különféle tevékenységi területek informatikai biztonsága szabályozatlan.

1.1.4. Informatikai Biztonságpolitika használhatóságának, irányító szerepének vizsgálata Vizsgálat tárgya: Informatikai Biztonságpolitika használhatóságának, irányító szerepének vizsgálata Vizsgálati szempontok: 1) Meg kell vizsgálni, hogy szolgátat-e a biztonságpolitika egy kijelölt útirányt, keretrendszert az informatikai biztonsági tevékenységhez. 2) Szabályzatok, dokumentációk begyőjtése, elemzése. 3) Az egyes szervezeti egységek és azok különféle tevékenységi köreinek feltérképezése, vizsgálata. Meg kell vizsgálni, hogy a különféle tevékenységeknél van-e meghatározott informatikai biztonsági szabályozás és hogy a biztonságpolitikában megfogalmazott biztonsági irányelvek használhatóak-e helyben is. Értékelés: •

14

Megfelel a követelménynek: Ha a biztonságpolitika által megfogalmazott biztonsági


Az informatikai biztonság irányításának vizsgálata irányelvek

az

adott

tevékenység

informatikai

biztonságának

kialakításához

felhasználhatóak, pénzügyi erıforrásokkal támogatottak. •

Részben megfelel a követelménynek: Ha a biztonságpolitika által megfogalmazott biztonsági irányelvek az adott tevékenység informatikai biztonságának kialakításához felhasználhatóak, pénzügyi erıforrásokkal támogatottak de csak részben fedik le a tevékenységi kört, vagy olyan intézkedéseket fogalmaznak meg, hatékonyan nem valósíthatók meg, vagy nem kockázatarányosak.

•

Nem felel meg a követelménynek: Ha a biztonságpolitikában megfogalmazott irányelvek: o elavultak; o rossz hatásfokuk miatt nem tarthatóak be (pl. túlzottan lelassítják az üzleti tevékenységet); o nincs meg az intézkedésekhez szükséges erıforrás.

1.1.5. Informatikai Biztonságpolitika törvényi megfelelıségének vizsgálata Vizsgálat tárgya: Informatikai Biztonságpolitika törvényi megfelelıségének vizsgálata Vizsgálati szempontok: 1) A vizsgálónak meg kell gyızıdnie arról, hogy a biztonsági irányelvek figyelembe veszik az

üzleti,

törvényi,

jogszabályi

és

a

szerzıdésekkel

kapcsolatos

biztonsági

követelményeket. 2) Hatályos jogszabályok, törvények feltérképezése. 3) A

szervezet

már

elkészült

szerzıdéseinek,

szerzıdésmintáinak

a

biztonsági

irányelveknek és a jogszabályoknak való megfelelési vizsgálata. 4) Az üzleti tevékenységek biztonsági irányelveknek és jogszabályoknak való megfelelési vizsgálata. 5) A szabályozási irányelvek, tevékenységek jogszabályi való megfelelésének vizsgálata. Értékelés: •

Megfelel a követelménynek: Ha a biztonsági irányelvek megfelelnek a jogszabályoknak és a szerzıdésekkel kapcsolatos biztonsági követelményeknek.


15

Az informatikai biztonság irányításának vizsgálata •

Részben megfelel a követelménynek: Ha a biztonsági irányelvek megfelelnek a jogszabályoknak, de nem felelnek meg a szabályozási és a szerzıdésekkel kapcsolatos biztonsági követelményeknek.

•

Nem felel meg a követelménynek: Ha a biztonsági irányelvek nem felelnek meg a tárgyban megfogalmazott feltételeknek.

1.1.6. Az informatikai biztonságpolitika támogatottságának, elfogadottságának vizsgálata Vizsgálat tárgya: A informatikai biztonságpolitika támogatottságának, elfogadottságának vizsgálata Vizsgálati szempontok: 1) Meg kell vizsgálni, hogy az informatikai biztonságpolitikát jóváhagyta-e a menedzsment. 2) Szabályzatok, dokumentumok begyőjtése, elemzése. 3) Személyes beszélgetések a vezetıkkel. Értékelés: •

Megfelel a követelménynek: Ha az informatikai biztonságpolitikát jóváhagyta a menedzsment.

•

Részben megfelel a követelménynek: Ha az informatikai biztonságpolitikának csak bizonyos részeit, vagy csak a fontosabb üzleti területekre vonatkozó részeit fogadta el a vezetés.

•

Nem felel meg a követelménynek: Ha az informatikai biztonságpolitikát nem hagyta jóvá a menedzsment.

16


Az informatikai biztonság irányításának vizsgálata 1.1.7. Kockázatkezelési eljárás megfelelıségének vizsgálata Vizsgálat tárgya: Kockázatkezelési eljárás megfelelıségének vizsgálata Vizsgálati szempontok: 1) A vizsgálónak meg kell gyızıdnie arról, hogy van-e olyan elıre definiált kockázatkezelési eljárás, ami megfelel az Informatikai Biztonság Irányítási Rendszernek és

az

azonosított

üzleti

informatikai

biztonsági,

törvényi

és

szabályozási

követelményeknek. 2) Olyan tanulmányok, dokumentumok keresése melyek elıírják a szervezeten belül alkalmazandó kockázatelemzési és kezelési elveket. Értékelés: •

Megfelel a követelménynek: Ha a vizsgálat tárgyában meghatározott feltételek maradéktalanul teljesülnek.

•

Nem felel meg a követelménynek: Ha az IBIR-ben nincs meghatározott kockázatkezelési eljárás.

1.1.8. Az IBIR kockázat kezelési, csökkentési céljainak vizsgálata Vizsgálat tárgya: A IBIR kockázat kezelési, csökkentési céljainak vizsgálata Vizsgálati szempontok: 1) A vizsgálónak meg kell vizsgálnia, hogy vannak-e olyan céljai és szabályai az Informatikai Biztonság Irányítási Rendszernek, melyek elviselhetı szintre csökkentik a kockázatokat. 2) Az informatikai biztonságpolitika vizsgálata a fenti tárgykörnek megfelelıen. Értékelés: •

Megfelel a követelménynek: Ha a vizsgálat szempontjaiban meghatározott feltételek maradéktalanul teljesülnek.

•

Nem felel meg a követelménynek: Ha nem léteznek a kockázatcsökkentı szabályok és célok az informatikai biztonságpolitkában és /vagy az IBIR-ben.


17

Az informatikai biztonság irányításának vizsgálata 1.1.9. Az elviselhetı kockázatok meghatározásának vizsgálata Vizsgálat tárgya: Az elviselhetı kockázatok meghatározásának vizsgálata Vizsgálati szempontok: 1) Meg kell vizsgálni, hogy van-e olyan kritérium, amely meghatározza az elviselhetı (elfogadható) kockázatokat

és

hogy vannak-e elfogadható

szintő

kockázatok

meghatározva, melyek ezen a kritériumon alapulnak. 2) Az informatikai biztonságpolitika vizsgálata a fenti tárgykörnek megfelelıen. Értékelés: •

Megfelel a követelménynek: Ha van megfelelı kritérium és meg vannak határozva az elfogadható szintő kockázatok.

•

Nem felel meg a követelménynek: Ha nincs megfelelı kritérium és nincsenek meghatározva az elfogadható szintő kockázatok.

1.1.10. A kockázatok azonosítására használt eljárások vizsgálata Vizsgálat tárgya: A kockázatok azonosítására használt eljárások létezésének vizsgálata Vizsgálati szempontok: 1) Meg kell vizsgálni, hogy a szervezetnél létezik-e helyénvaló eljárás a kockázatok azonosítására. Értékelés: •

Megfelel a követelménynek: Ha létezik kockázatazonosító eljárás.

•

Nem felel meg a követelménynek: Ha nem áll rendelkezésre kockázatok azonosítására használható eljárás.

1.1.11. Kockázatelemzési módszer használatának vizsgálata Vizsgálat tárgya: Annak megállapítása, hogy használnak-e a szervezetnél valamilyen kockázatelemzési módszert. Vizsgálati szempontok: 1) Ez a módszer elemzi a biztonsági hibákból, a bizalmasság, sérthetetlenség, és

18


Az informatikai biztonság irányításának vizsgálata rendelkezésre állás elvesztésébıl származó üzleti károkat? 2) Ez a módszer elemzi (megbecsüli) a bekövetkezési valószínőségét az olyan biztonsági események elıfordulásának, melyek az Informatikai Biztonság Irányítási Rendszer értékeit fenyegetik? 3) Ez a módszer megbecsüli a kockázat szintjeit? 4) Ez a módszer meghatározza, hogy elfogadható-e (felvállalható-e) ez a kockázat vagy igényel-e valamilyen kezelési módot, ill. használnak-e más olyan kritériumot, amely meghatározza, hogy elviselhetı-e ez a kockázat? Értékelés: •

Megfelel a követelménynek: Ha vizsgálat tárgyában meghatározott feltételek maradéktalanul teljesülnek.

•

Nem felel meg a követelménynek: Ha nem használnak kockázatelemzési módszert.

1.1.12. A kockázatkezelési lehetıségek azonosítása, kiértékelése Vizsgálat tárgya: A kockázatkezelési lehetıségek azonosítása, kiértékelése Vizsgálati szempontok: 1) A vizsgálónak meg kell állapítania, hogy használnak-e a szervezeten belül valamilyen módszert a kockázatok azonosítására, kiértékelésére és kezelésére. Ez a módszer figyelembe veszi a következı lehetıségeket: a) alkalmaz intézkedéseket a kockázatok kezelésére? b) tárgyilagosan elfogadja a kockázatokat, kielégíti a biztonsági szabályzatban definiált kockázat elfogadási ismérveket? c) Megoldja a kockázatok kikerülését? d) Átruházza a kockázatokat a biztosítókra vagy a szállítókra? Értékelés: •

Megfelel a követelménynek: Ha létezik és használatban van a vizsgálati szempontoknak megfelelı módszertan.

•

Nem felel meg a követelménynek: Ha nem létezik és/vagy nincs használtban a


19

Az informatikai biztonság irányításának vizsgálata vizsgálati szempontoknak megfelelı módszertan.

1.1.13. A kockázatkezelési intézkedés tárgyának és céljának kiválasztása Vizsgálat tárgya: Megtörténik-e a kockázatkezelési intézkedés tárgyának és céljának kiválasztása Vizsgálati szempontok: 1) Használnak a szervezeten belül valamilyen módszert a kockázatkezelési intézkedések kiválasztására? 2) Biztosítja igazoltan ez a módszer, hogy az intézkedések kiválasztása kockázat elemzésen és kezelésen alapul? Értékelés: •

Megfelel a követelménynek: Ha a vizsgálat tárgyában meghatározott feltételek maradéktalanul teljesülnek.

•

Nem felel meg a követelménynek: Ha a vizsgálat tárgyában meghatározott feltételek nem teljesülnek..

1.1.14. Alkalmazhatósági nyilatkozat meglétének és helyességének vizsgálata Vizsgálat tárgya: Az alkalmazhatósági nyilatkozat megléte és helyessége Vizsgálati szempontok: 1) A szervezeten belül van-e használnak-e alkalmazhatósági nyilatkozatot? 2) Az

alkalmazhatósági

nyilatkozat

igazolja

a

a

kockázatkezelési

intézkedések

kiválasztásáráról hozott döntéseket? Értékelés: •

Megfelel a követelménynek: Amennyiben mindkét vizsgálati szempontra „igen” a válasz.

•

Nem felel meg a követelménynek: Amennyiben az egyik vizsgálati szempontra „nem” a válasz

20


Az informatikai biztonság irányításának vizsgálata 1.1.15. A maradék kockázat elfogadásának és az IBIR megvalósításának vizsgálata. Vizsgálat tárgya: A maradék kockázat felvállalása és az IBIR gyakorlati megvalósítása Vizsgálati szempontok: 1) A szervezeten belül mőködik-e olyan folyamat, amivel kapcsolatban a vezetés elfogadta a maradék kockázatot? 2) A szervezeten belül van-e olyan folyamat, ami megkapta a vezetés jóváhagyását az IBIR intézkedések foganatosítására? Értékelés: •


•

Nem felel meg a követelménynek: Amennyiben az egyik vizsgálati szempontra „nem” a válasz.


21


1.2. Az Informatikai Biztonság Irányítási Rendszer megvalósítása és üzemeltetése Vizsgálat

tárgya:

Informatikai

Biztonság

Irányítási

Rendszer

megvalósítása

és

üzemeltetése. Vizsgálati szempontok: 1) Meg kell vizsgálni, hogy a szervezeten belül van-e használatban érvényes kockázatkezelési terv, ami elıírja a megfelelı vezetési irányelveket, felelısségeket és a prioritásokat az informatikai biztonsági kockázatok kezeléséhez. 2) Meg kell vizsgálni, hogy a kockázatkezelési terv tartalmazza-e a pénzügyi kötelezettségvállalások szerep- és felelısségi köreit? Értékelés: •


•

Nem felel meg a követelménynek: Ha az informatikai biztonságpolitikában nincsenek meghatározva ilyen kritériumok, és a szervezetnél nincsenek használatban a fenti eljárások.

1.2.1. Informatikai biztonsági képzések vizsgálata Vizsgálat tárgya: Informatikai biztonsági képzések vizsgálata Vizsgálati szempontok: 1) A vizsgálónak meg kell vizsgálnia, hogy a szervezeten belül folyik-e informatikai biztonsági képzés. 2) Tanfolyami anyagok, dokumentációk elemzése. 3) Az Informatikai Biztonságpolitika elemzése. Értékelés: •

Megfelel a követelménynek: Ha az informatikai biztonságpolitikában meg van fogalmazva a biztonsági tanfolyamok szükségessége, és meg van határozva a pénzügyi erıforrások rendelkezésre bocsátásának módja.

22



Nem felel meg a követelménynek: Ha a szervezetnél egyáltalán nincs biztosítva a felhasználók számára informatikai biztonsági képzés.

1.2.2. Az üzemeltetést támogató IBIR módszerek, eljárások vizsgálata Vizsgálat tárgya: Az üzemeltetést támogató IBIR módszerek, eljárások vizsgálata. Vizsgálati szempontok: 1) A vizsgálónak meg kell állapítania, hogy a szervezeten belül van-e használatban az üzemeltetést irányító, megvalósított IBIR módszer. 2) Rendszerdokumentációk elemzése. Értékelés: •

Megfelel a követelménynek: Ha vizsgálati szempontokban meghatározott feltételek maradéktalanul teljesülnek.

•

Nem felel meg a követelménynek: Ha nincsenek használatban üzemeltetést irányító megvalósított IBIR módszerek.

1.2.3. Az anyagi erıforrások kezelését irányító IBIR módszerek, eljárások vizsgálata Vizsgálat tárgya: Az anyagi erıforrások kezelését irányító IBIR módszerek, eljárások vizsgálata. Vizsgálati szempontok: 1) A szervezeten belül alkalmaznak-e az anyagi erıforrások kezelését irányító IBIR módszert? Értékelés: •

Megfelel a követelménynek: Ha a vizsgálati szempontban meghatározott feltétel maradéktalanul teljesül.

•

Nem felel meg a követelménynek: Ha nincsenek használatban az anyagi erıforrások kezelését irányító IBIR módszerek, eljárások.


23

Az informatikai biztonság irányításának vizsgálata 1.2.4. Biztonsági eseménykezelı módszerek, eljárások meglétének vizsgálata Vizsgálat tárgya: Biztonsági eseménykezelı módszerek, eljárások meglétének vizsgálata. Vizsgálati szempontok: 1) A vizsgálónak meg kell gyızıdni arról, hogy vannak-e módszerek és egyéb megvalósított intézkedések, melyek használatával a szervezet képes a biztonsági események azonnali felismerésére és kezelésére. (pl. Van-e katasztrófa terv?) Értékelés: •

Megfelel a követelménynek: Ha a vizsgálati szempontban meghatározott feltételek maradéktalanul teljesülnek.

•

Nem felel meg a követelménynek: Ha a vizsgálati szempontban meghatározott feltételek nem teljesülnek, azaz nincsenek megfelelı módszerek és nem voltak intézkedések.

24



1.3. Informatikai Biztonsági Irányítási Rendszer ellenırzése és felülvizsgálata Vizsgálat tárgya: Informatikai Biztonsági Irányítási Rendszer ellenırzése és felülvizsgálata Vizsgálati szempontok: A vizsgálónak meg kell vizsgálnia, hogy a szervezeténél megvannak a következı ellenırzı módszerek és egyéb intézkedések: 1) Detektálják-e a hibákat és a lehetı legrövidebb idın belül eredményesen elhárítják-e azokat; 2) Képesek-e azonnal azonosítani a sikeres és sikertelen biztonsági eseményeket; 3) Meghatározottak-e azok a tevékenységek melyek a biztonsági események megoldásához használatosak, és mérlegelik-e az üzleti prioritásokat? Értékelés: •

Megfelel a követelménynek: Ha a vizsgálati szempontokban meghatározott feltételek maradéktalanul teljesülnek.

•

Nem felel meg a követelménynek: Ha a vizsgálati szempontban meghatározott feltételek nem teljesülnek maradéktalanul.

1.3.1. Az IBIR hatékonyságát folyamatosan felülvizsgáló eljárások meglétének vizsgálata Vizsgálat tárgya: Az IBIR hatékonyságát folyamatosan felülvizsgáló eljárások meglétének vizsgálata Vizsgálati szempontok: 2) A vizsgálónak meg kell bizonyosodnia arról, hogy a szervezeten belül létezik-e olyan eljárás, amely folyamatosan felülvizsgálja az IBIR hatékonyságát: a) biztonsági intézkedések felülvizsgálata, b) értekezletek a biztonsági szabályzat céljaival kapcsolatban, c) jelentések készítése a biztonsági vizsgálatokról, eseményekrıl, javaslatokról és az összes érdekelt visszajelzésének eredményeirıl. 3) A szükséges dokumentumok felkutatása, elemzése.


25

Az informatikai biztonság irányításának vizsgálata 4) Személyes megbeszélések az illetékes vezetıkkel, munkatársakkal. Értékelés: •

Megfelel a követelménynek: Ha találunk olyan dokumentumot, mely a vizsgálat tárgyát igazolja.

•

Nem felel meg a követelménynek: Ha a szervezetnél nincs használatban a tárgyban meghatározott eljárás.

1.3.2. A maradék kockázati szintek szervezeti felülvizsgálatának elemzése Vizsgálat tárgya: A maradék kockázati szintek szervezeti felülvizsgálatának elemzése Vizsgálati szempontok: 1) A vizsgálónak meg kell bizonyosodnia arról, hogy a szervezeten belül mőködik-e eljárás a maradék kockázatok szintjének felülvizsgálatára és készülnek-e jelentések az elfogadható (felvállalható) kockázatról az alábbi területeken: a) szervezet; b) technológiai; üzleti célok és eljárások; c) azonosított fenyegetettségek; d) külsı események, mint pl. törvényi-, és más szabályozási környezetbeli valamint a szociális tényezık változása. 2) Szükséges dokumentumok felkutatása, elemzése. Értékelés: •

Megfelel a követelménynek: Ha a meghatározott területeken az elfogadható (felvállalható) kockázatról szóló jelentések rendelkezésre állnak.

•

Részben megfelel a követelménynek: Ha szervezeti szinten van használatban megvalósított eljárás a maradék kockázatok szintjének felülvizsgálatára, de a vizsgálati módszerben meghatározott területeken az elfogadható (felvállalható) kockázatról szóló változásjelentések nem állnak rendelkezésre.

•

Nem felel meg a követelménynek: Ha a vizsgálati módszerek pontban meghatározott területeken az elfogadható (felvállalható) kockázatról szóló változásjelentések nem állnak rendelkezésre.

26


Az informatikai biztonság irányításának vizsgálata 1.3.3. Idıszakosan tervezett és lefolytatott IBIR vizsgálatok meglétének vizsgálata Vizsgálat tárgya: Annak megállapítása, hogy vannak-e belsı, idıszakosan tervezett és lefolytatott IBIR vizsgálatok. Vizsgálati szempontok: 1) Szükséges dokumentumok felkutatása, elemzése. 2) Személyes megbeszélések az illetékes vezetıkkel, munkatársakkal. Értékelés: •

Megfelel a követelménynek: Ha a vizsgálat tárgya jegyzıkönyvekkel és egyéb dokumentumokkal igazolt.

•

Nem felel meg a követelménynek: Ha a vizsgálat tárgyát jegyzıkönyvekkel és egyéb dokumentumokkal nem lehet igazolni.

1.3.4. IBIR szabályozási tevékenységének felülvizsgálatára megvalósított eljárások megléte Vizsgálat tárgya: IBIR szabályozási tevékenységének felülvizsgálatára megvalósított eljárások meglétének vizsgálata Vizsgálati szempontok: 1) Meg kell vizsgálni, hogy a szervezeten belül létezik-e mőködı eljárás az IBIR szabályozási tevékenységének felülvizsgálatára (évente egyszer) melynek célja, hogy biztosítsa IBIR módszerek, eljárások továbbfejlesztését. 2) Szükséges dokumentumok felkutatása, elemzése. Személyes megbeszélések az illetékes vezetıkkel, munkatársakkal. Értékelés: •


•



27

Az informatikai biztonság irányításának vizsgálata 1.3.5. Az IBIR idıszakos hatékonysági vizsgálata Vizsgálat tárgya: Az IBIR idıszakos hatékonysági vizsgálatának a megléte Vizsgálati szempontok: 1) A vizsgálónak meg kell gyızıdnie arról, hogy a szervezeten belül mőködik-e olyan eljárás, amely rögzíti azokat a tevékenységeket és eseményeket, melyek kihatással vannak az IBIR eljárások hatékonyságára és teljesítményére. 2) Szükséges dokumentumok felkutatása, elemzése. 3) Személyes megbeszélések az illetékes vezetıkkel, munkatársakkal. Értékelés: •


•


28



1.4. Informatikai Biztonsági Irányítási Rendszer fejlesztése és karbantartása Vizsgálat tárgya: Informatikai Biztonsági Irányítási Rendszer fejlesztése és karbantartása Vizsgálati szempontok: 1) A vizsgálónak meg kell gyızıdnie arról, hogy a szervezeten belül van-e használatban olyan eljárás, ami megvalósítja IBIR továbbfejlesztését. 2) Meg kell vizsgálni, hogy a szervezeten belül van-e használatban olyan eljárás, ami 7.2 és 7.3 pontokban felsoroltaknak megfelelıen szállít megfelelı javító és megelızı intézkedéseket valamint alkalmazza a saját- vagy más szervezetek biztonsági tapasztalatait. 3) Meg kell vizsgálni, hogy a szervezeten belül van-e használatban olyan eljárás, ami kommunikálja az eredményeket, a tevékenységeket az érdekelt felek jóváhagyásával. 4) Meg kell vizsgálni, hogy a szervezeten belül van-e használatban olyan eljárás, ami biztosítja a fejlesztések elvégzését a céloknak megfelelıen 5) Szükséges dokumentumok felkutatása, elemzése. 6) Személyes megbeszélések az illetékes vezetıkkel, munkatársakkal. Értékelés: •


•



29


1.5. Dokumentáció követelményei Vizsgálat tárgya: Dokumentáció követelményei Vizsgálati szempontok: 1) A vizsgálónak meg kell gyızıdnie arról, hogy van-e elérhetı dokumentált nyilatkozata az informatikai biztonságpolitikának és az intézkedések céljainak. 2) Meg kell vizsgálni, hogy a szervezeten belül van-e olyan könnyen érthetı, elérhetı dokumentum, amely jellemzi az IBIR mőködési körét, eljárásait, mőködését és az informatikai biztonsági folyamatok irányítását (Informatikai Biztonsági Szabályzat, Felhasználói Kézikönyv). 3) Meg kell vizsgálni, hogy a szervezeten belül van-e könnyen érthetı, elérhetı kockázatelemzési jelentés. 4) Meg kell vizsgálni, hogy a szervezeten belül van-e könnyen érthetı, elérhetı kockázat kezelési terv. 5) Meg kell vizsgálni, hogy a szervezeten belül az elérhetı, dokumentált eljárások biztosítják-e az eredményes tervezést, mőködést és az informatikai biztonsági folyamatok irányítását. 6) Meg kell vizsgálni, hogy a szervezeten belül vannak-e olyan elérhetı dokumentumok, feljegyzések melyek alátámasztják az IBIR követelményeit és hatékony mőködését. 7) Meg kell vizsgálni, hogy a szervezeten belül van-e másolata az alkalmazhatósági nyilatkozatnak és elérhetı-e az a vizsgálat céljából. 8) Szükséges (fenti) dokumentumok felkutatása, elemzése. Értékelés: •


•


30


Az informatikai biztonság irányításának vizsgálata 1.5.1. A dokumentumok kezelése Vizsgálat tárgya: A dokumentumok kezelése Vizsgálati szempontok: 1) A vizsgálónak meg kell vizsgálnia, hogy a szervezeten belül van-e használatban olyan eljárás, ami védi és ellenırzi az IBIR számára szükséges dokumentumokat. 2) Meg kell vizsgálni, hogy a szervezeten belül van-e használatban olyan dokumentált eljárás, ami támogatja a következı, a vezetés által jóváhagyott eljárásokat: a) Dokumentumok jóváhagyása a kiadást megelızıen; b) A szükséges dokumentumok felülvizsgálata és frissítése és újraérvényesítése, jóváhagyatása; c) A dokumentumok változási és felülvizsgálati állapotának azonosítása; d) A vonatkozó dokumentumok legújabb verziójú elérésének biztosítása a felhasználás helyén; e) A dokumentumok megtartásának, olvashatóságának és azonosíthatóságának a biztosítása; f) Kívülrıl érkezı dokumentumok azonosíthatóságának biztosítása; g) A dokumentumok irányított elosztásának biztosítása; h) Az elavult dokumentumok akaratlan felhasználásának a megelızése; i) A valamilyen célból visszatartott dokumentumok megfelelı azonosításának biztosítása. Értékelés: •

Megfelel a követelménynek: Ha a a 2) vizsgálati szempontban felsorolt valamennyi eljárás maradéktalanul létezik és mőködik.

•

Részben megfelel a követelménynek: Ha a „vizsgálati szempontok” pontban felsorolt eljárások egy része van csak megvalósítva.

•

Nem felel meg a követelménynek: Ha a „vizsgálati szempontok” pontban felsorolt valamennyi eljárás közül egyik sincsen megvalósítva.


31

Az informatikai biztonság irányításának vizsgálata 1.5.2. Okmányok, jegyzıkönyvek kezelése Vizsgálat tárgya: Okmányok, jegyzıkönyvek kezelése Vizsgálati szempontok: 1) Meg kell vizsgálni, hogy a szervezeten belül van-e használatban olyan eljárás, ami karbantartja és ellenırzi a hivatalos okmányokat, jegyzıkönyveket. 2) Meg kell vizsgálni, hogy ez a folyamat vizsgálja-e a jogszabályoknak, törvényeknek való megfelelıséget. 3) Meg kell vizsgálni, hogy ez a folyamat biztosítja-e, hogy a hivatalos okmányok olvashatóak, azonosíthatóak és visszakereshetıek maradjanak. 4) Meg kell vizsgálni, hogy megvannak-e a szükséges intézkedések a hivatalos okmányok azonosításához, tárolásához, védelméhez, visszakereséséhez, visszatartásához és rendezéséhez. Értékelés: •

Megfelel a követelménynek: Ha a „vizsgálati szempontok” pontban felsorolt valamennyi eljárás maradéktalanul megvan.

•


•


1.5.3. Vezetıi felelısség Vizsgálat tárgya: Vezetıi felelısség, elkötelezettség Vizsgálati szempontok: 1) A vizsgálónak meg kell gyızıdnie arról, hogy a szervezeten belül van-e használatban olyan eljárás, ami bizonyítja a vezetés elkötelezettségét az IBIR létrehozására, megvalósítására, üzemeltetetésére, ellenırzésére, felülvizsgálatára és fejlesztésére. 2) Meg kell vizsgálni, hogy a szervezeten belül az alábbi eljárások használatban vannak-e: a) Informatikai biztonság politika létrehozása; b) Az informatikai biztonsági célok és tervek megvalósításának biztosítása;

32


Az informatikai biztonság irányításának vizsgálata c) Informatikai biztonsági szerepek és felelısségkörök kialakítása; d) Az informatikai biztonsági szabályzat megerısítésének, a jogszabályi megfelelés és a folyamatos fejlesztési igény közvetítése a fontosabb értekezleteken, fórumokon; e) Elegendı pénzügyi erıforrás biztosítása az IBIR fejlesztéséhez, megvalósításához, mőködtetéséhez és karbantartásához; f) Az elfogadható kockázati szintek meghatározása; g) Az IBIR vezetıi felülvizsgálatának levezetése. Értékelés: •


•


•

Nem felel meg a követelménynek: Ha a „vizsgálati szempontok” pontban felsorolt valamennyi eljárások közül egyik sincsen megvalósítva.

1.5.4. Erıforrások kezelése Vizsgálat tárgya: Erıforrások kezelése: a biztonsági célok megvalósításához szükséges erıforrások rendelkezésre bocsátásának vizsgálata. Vizsgálati szempontok: Meg kell vizsgálni, hogy a szervezeten belül van-e használatban olyan eljárás, amely meghatározza

és

rendelkezésre

bocsátja

a

szükséges

pénzügyi

erıforrásokat

a

következıkhöz: 1) Az IBIR megvalósítása, üzemeltetése, karbantartása; 2) Biztosítja, hogy az informatikai biztonsági szolgáltatások megfeleljenek az üzleti követelményeknek; 3) Azonosítja a törvényi és szabályzati követelményeket és a szerzıdésekbıl adódó biztonsági kötelezettségeket; 4) Ha szükséges, végrehajtja a felülvizsgálatokat, és alkalmas az ellenırzések eredményére való azonnali reagálásra;


33

Az informatikai biztonság irányításának vizsgálata 5) Ahol szükséges, javítja az IBIR teljesítményét. Értékelés: •


•


•


1.5.5. Felelısségi körök megállapításának a vizsgálata Vizsgálat tárgya: A felelısségi körök megállapításának a vizsgálata. Vizsgálati szempontok: 1) Meg kell vizsgálni, hogy a szervezeten belül van-e használatban olyan eljárás, ami biztosítja, hogy az összes alkalmazott, aki ki van jelölve a felelısségi körök megállapítására és kiosztására, az képes hozzáértı módon elvégezni a következı feladatokat: a) Meghatározza azoknak az alkalmazottaknak a szükséges szaktudását, akik az IBIRben dolgoznak. b) Felzárkóztató szakmai tanfolyamokat szervez és ha szükséges, szakembert vesz igénybe a kompetenciaigények kielégítésére. c) Kiértékeli a tanfolyamok hatásfokát. d) Karbantartja oktatási, végzettséget igazoló okmányokat. Értékelés: •


•


•


34



1.5.6. A felhasználói felelısség és tudatosság vizsgálata Vizsgálat tárgya: Felhasználói felelısség és tudatosság meglétének vizsgálata Vizsgálati szempontok: 1) Meg kell vizsgálni, hogy szervezeten belül van-e használatban olyan eljárás, vagy van-e informatikai biztonsági oktatás, ami biztosítja azt, hogy minden munkatárs tudatában legyen az ı informatikai biztonsági szerepének, feladatának, és annak, hogy hogyan mőködik közre az IBIR célok elérésében. 2) Meg kell vizsgálni a szervezet informatikai biztonságpolitikáját, humánpolitikáját és szabályzatait, hogy megtalálható-e bennük meghatározott idıközönként ismétlıdı vagy az új belépık számára megtartandó informatikai biztonsági tanfolyam. Értékelés: •


•

Nem felel meg a követelménynek: Ha a „vizsgálati szempontok”pontban felsorolt valamennyi eljárás közül legalább az egyik nincs megvalósítva.


35


1.6. Az Informatikai Biztonsági Irányítási Rendszer vezetıi felülvizsgálata

1.6.1. Általános követelmények vizsgálata Vizsgálat tárgya: Általános követelmények vizsgálata Vizsgálati szempontok: 1) A vizsgálónak meg kell gyızıdnie arról, hogy a szervezeten belül van-e használatban olyan eljárás, ami biztosítja, hogy az IBIR vezetıi felülvizsgálatai idıszakosan tervezettek legyenek, és folyamatosan ellenırizzék az IBIR alkalmasságát és a hatékonyságát. 2) Meg kell vizsgálni, hogy a felülvizsgálatokba beletartozik-e a fejlesztési lehetıségek és az IBIR szükséges változtatásainak megállapítása, beleértve az informatikai biztonsági szabályzatot és a biztonsági célokat? 3) A felülvizsgálat eredményei dokumentáltak és a jegyzıkönyvek karbantartása az IBIK 4.3.3 pontnak megfelelıen történik? 4) Szükséges dokumentumok, vizsgálati jegyzıkönyvek felkutatása, elemzése. 5) Személyes megbeszélések az illetékes vezetıkkel, munkatársakkal. Értékelés: •

Megfelel a követelménynek: Ha a „vizsgálati szempontok” pontban felsorolt valamennyi eljárás definiált és maradéktalanul megvan.

•


1.6.2. A bemeneti adatok felülvizsgálata Vizsgálat tárgya: A vezetıi felülvizsgálatok bemeneti adatainak felülvizsgálata. Vizsgálati szempontok: 1) A szervezeten belül van-e használatban olyan eljárás, ami biztosítja, hogy a vezetıi felülvizsgálatok bemeneteli adatai tartalmazzák a következı információkat: a) A vizsgálatok eredményeit; b) Visszajelzést az érdekelt felek részére;

36


Az informatikai biztonság irányításának vizsgálata c) Olyan technikákat, termékeket vagy eljárásokat, melyeket a szervezet az IBIR hatékonyságának fejlesztésére használ; d) A megelızı és javító intézkedések állapotát; e) Olyan fenyegetéseket és sebezhetıségeket, melyek nem voltak megfelelıen azonosítva az elızı kockázatelemzésben; f) Folytatólagos tevékenységeket, „utókezeléseket” az elızı vezetıi felülvizsgálat óta; g) Az IBIR bármilyen változásait; h) Továbbfejlesztési javaslatokat; i) A vezetıi felülvizsgálatok jegyzıkönyveinek elemzését. Értékelés: •

Megfelel a követelménynek: Ha a vezetıi felülvizsgálatokról szóló jegyzıkönyvekben a „vizsgálati szempontok” részben meghatározott bemeneti adatok szerepelnek.

•

Részben megfelel a követelménynek: Ha a vezetıi felülvizsgálatokról szóló jegyzıkönyvekben a „vizsgálati szempontok” részben meghatározott bemeneti adatok csak részben szerepelnek.

•

Nem felel meg a követelménynek: Ha a vezetıi felülvizsgálatokról szóló jegyzıkönyvekben a „vizsgálati szempontok” részben meghatározott bemeneti adatok nem szerepelnek.

1.6.3. A kimeneti adatok felülvizsgálata Vizsgálat tárgya: A vezetıi felülvizsgálatok kimeneti adatainak felülvizsgálata Vizsgálati szempontok: 1) A szervezeten belül van-e használatban olyan eljárás, ami biztosítja, hogy a vezetıi felülvizsgálatok kimeneti adatai tartalmazzák a következı döntéseket és akciókat: a) A IBIR hatékonyságának fejlesztése; b) Az eljárások módosítása kihat az informatikai biztonságra, ami tovább hat az Informatikai Biztonsági Irányítási Rendszerre. Az eljárások módosulásával a következık is változnak:


37

Az informatikai biztonság irányításának vizsgálata − Üzleti követelmények; − Biztonsági követelmények; − Üzleti eljárások kihatása a már létezı üzleti követelményekre; − Szabályzási és törvényi környezet; − Kockázatok szintje vagy az elviselhetı (felvállalt) kockázatok szintje; − Szükséges pénzügyi erıforrás? 2) A vezetıi felülvizsgálatok jegyzıkönyveinek elemzése. Értékelés: •

Megfelel a követelménynek: Ha a vezetıi felülvizsgálatokról szóló jegyzıkönyvekben a „vizsgálati szempontok”-ban meghatározott kimeneti adatok szerepelnek.

•

Részben megfelel a követelménynek: Ha a vezetıi felülvizsgálatokról szóló jegyzıkönyvekben a „vizsgálati szempontok”-ban meghatározott kimeneti adatok csak részben szerepelnek.

•

Nem felel meg a követelménynek: Ha a vezetıi felülvizsgálatokról szóló jegyzıkönyvekben a „vizsgálati szempontok”-ban meghatározott kimeneti adatok nem szerepelnek.

1.6.4. Az Informatikai Biztonsági Irányítási Rendszer belsı ellenırzése Vizsgálat tárgya: Az Informatikai Biztonsági Irányítási Rendszer belsı ellenırzése Vizsgálati szempontok: 1) Meg kell vizsgálni, hogy a szervezeten belül van-e használatban olyan eljárás, ami biztosítja, hogy az IBIR belsı ellenırzései idıszakosan tervezettek legyenek, és hogy meghatározzák az intézkedési célokat, valamint az intézkedéseket és a következı informatikai biztonsági folyamatokat és módszereket melyek: a) Követelményei

a

vonatkozó

törvényeknek,

jogszabályoknak

és

egyéb

szabályzatoknak megfelelnek; b) Igazodnak az azonosított informatikai biztonsági követelményekhez; c) Ténylegesen megvalósítottak és karbantartottak.

38


Az informatikai biztonság irányításának vizsgálata 2) Meg kell vizsgálni, hogy a vizsgálatok szempontjai, területei, gyakorisága, módszerei definiáltak-e és kellıképpen dokumentálva vannak-e. 3) Meg kell vizsgálni, hogy a szervezeten belül van-e: a) ellenırzési program, melynek fı vizsgálati tárgya a folyamatok és a vizsgált területek állapota és fontossága, valamint az elızı vizsgálatok eredménye. b) valamilyen eljárás a vizsgálók kiválasztására, ami biztosítja az ellenırzı folyamat tárgyilagosságát, pártatlanságát és kizárja, hogy a vizsgálók saját munkájukat ellenırizzék. c) használatban olyan eljárás, ami definiálja a felelısségeket és követelményeket a vizsgálatok tervezésénél, lefolytatásánál, az eredmények jelentésénél és a jegyzıkönyvek karbantartásánál. d) használatban olyan eljárás, ami biztosítja a vezetıi felelısséget a vizsgált területért, és olyan módszereket valósít-e meg, melyek rövid úton kiküszöbölik a nem egyeztetett vizsgálatokat. e) használatban olyan eljárás, ami biztosítja a fejlesztési tevékenységeket, beleértve a visszacsatolást, és eredményének jelentését. Értékelés: •


•



39


1.7. Az Informatikai Biztonsági Irányítási Rendszer fejlesztése Vizsgálat tárgya: Az Informatikai Biztonsági Irányítási Rendszer folyamatos fejlesztése Vizsgálati szempontok: 1) Meg kell vizsgálni, hogy a szervezeten belül van-e használatban olyan eljárás, ami biztosítja: a) a szervezet számára az IBIR hatékonyságának folyamatos fejlesztését, b) hogy a fejlesztés az informatikai biztonságpolitika, a biztonsági célok, a megfigyelt események elemzése, a megelızı és javító tevékenységek és a vezetıi felülvizsgálatok figyelembevételével történjen. Értékelés: •


•


1.7.1. Javító intézkedések végrehajtásának vizsgálata Vizsgálat tárgya: Javító tevékenységek és végrehajtásuk módja. Vizsgálati szempontok: 1) Meg kell vizsgálni, hogy van-e használatban dokumentált eljárás a javító intézkedésekre, amely kielégíti a következı követelményeket: a) Kiértékeli

a

szükséges

javító

intézkedéseket,

az

összeférhetetlenség

és

alkalmazhatatlanság megakadályozása érdekében; b) Megakadályozza az IBIR fejlesztésével és üzemeltetésével együtt járó nem egyeztetett,

összeférhetetlen

intézkedéseket

és

megakadályozza

ezek

megismétlıdését; c) Meghatározza az összeférhetetlenségi, alkalmazhatatlansági okokat; d) Meghatározza és megvalósítja a szükséges javító intézkedéseket; e) Jegyzıkönyvet készít az intézkedésrıl;

40


Az informatikai biztonság irányításának vizsgálata f) Felülvizsgálja a javító intézkedéseket. Értékelés: •


•


1.7.2. Megelızı tevékenységek vizsgálata Vizsgálat tárgya: Megelızı tevékenységek és végrehajtásuk módja. Vizsgálati szempontok: 1) Meg kell vizsgálni, hogy a szervezeten belül van-e használatban olyan eljárás: a) ami biztosítja a védelmet az esetlegesen elıforduló összeférhetetlenségek ellen, és megelızi bekövetkezésüket. b) ami biztosítja, hogy a megelızı intézkedések alkalmasak a potenciális problémákat megszüntetésére; c) a megelızı intézkedésekre, amely kielégíti a következı követelményeket: − A potenciális összeférhetetlenségek és okainak azonosítása; − A szükséges megelızı tevékenységek meghatározása és megvalósítása; − Jegyzıkönyv készítése az intézkedésrıl; − Megelızı intézkedések felülvizsgálata; − Azonosítja a megváltozott kockázatokat és összpontosítja a figyelmet a jelentısen megváltozott kockázatokra? Értékelés: •


•



41


2. Biztonsági intézkedések vizsgálata

2.1. Biztonságpolitika Figyelem: a számozás az Informatikai Biztonság Irányítási Követelményekkel való azonosság miatt nem mindig „folytonos”. 2.1.1. Az informatikai biztonság dokumentumai 2.1.1.1. Az informatikai biztonságpolitika Vizsgálat tárgya: Az informatikai biztonságpolitika A vizsgált intézkedés célja: Az informatikai biztonságpolitikának nem kell túlzottan kiterjedtnek lennie, de világosan ki kell fejeznie a felsıvezetés kiállását az informatikai biztonság mellett, változás- és verziókezeléssel kiegészítve valamint a megfelelı felsıvezetı kézjegyével ellátva. A politikának legalább a következıkre kell kiterjednie: 1) az informatikai biztonság definíciója, 2) azon okok, melyeknél fogva az informatikai biztonság fontos a szervezet számára (annak céljai és alapelvei), 3) a

biztonságpolitikák

rövid

kifejtése,

alapelvei,

szabványok

és

megfelelıségi

követelmények, 4) minden kapcsolódó informatikai biztonsági felelısség definiálása, 5) hivatkozások a támogató dokumentációkra. Vizsgálati szempontok: 1) A vizsgálónak meg kell bizonyosodnia arról, hogy a politika minden munkavállaló számára hozzáférhetı és tudnak is annak létezésérıl, valamint ismerik tartalmát. 2) A politika lehet magában álló nyilatkozat, vagy lehet része egy jóval átfogóbb dokumentumnak (pl. egy biztonságpolitikai kézikönyvnek), mely az informatikai biztonságpolitika adott szervezeten belüli megvalósítását tárgyalja. 3) Az IBIR hatókörébe kerülı munkavállalók többsége, ha nem egésze valamilyen

42


Az informatikai biztonság irányításának vizsgálata felelısséget visel az informatikai biztonságért, a vizsgálónak pedig minden ezzel ellenkezı kijelentést meg kell vizsgálnia. 4) A vizsgálónak arról is meg kell bizonyosodnia, hogy a biztonságpolitikának van gazdája, aki felelıs annak karbantartásáért és az eredeti kockázatfelmérés alapját befolyásoló változásoknak megfelelı továbbfejlesztéséért. Értékelés: •

Megfelel a követelménynek: Ha a „vizsgálati szempontok” pontban felsorolt valamennyi biztonsági követelmény, eljárás definiált és maradéktalanul megvan.

•

Nem felel meg a követelménynek: Ha a „vizsgálati szempontok” pontban felsorolt valamennyi követelmény és eljárás közül egyik sincsen megvalósítva. 2.1.1.3. Az informatikai Biztonsági Szabályzat

Vizsgálat tárgya: Az Informatikai Biztonsági Szabályzat A vizsgált intézkedés célja: Az Informatikai Biztonsági Szabályzatnak (IBSZ) léteznie kell és az IBIK-ben foglalt valamennyi követelményre ki kell terjednie. Tartalmaznia kell a feladatokat és az abban foglaltak végrehajtásáért és ellenırzésért felelısöket. Vizsgálati szempontok: 1) A vizsgálónak meg kell bizonyosodnia arról, hogy az IBSZ minden érintett számára hozzáférhetı és tudnak is annak létezésérıl, valamint ismerik tartalmát. 2) A vizsgálónak arról is meg kell bizonyosodnia, hogy a biztonságpolitikának van gazdája, aki felelıs annak karbantartásáért és az eredeti kockázatfelmérés alapját befolyásoló változásoknak megfelelı továbbfejlesztéséért. Értékelés: •


•

Nem felel meg a követelménynek: Ha a „vizsgálati szempontok” pontban felsorolt valamennyi követelmény és eljárás közül egyik sincsen megvalósítva.


43


2.1.2. Felülvizsgálat és fejlesztés Vizsgálat tárgya: Az informatikai biztonságpolitika felülvizsgálata A vizsgált intézkedés célja: A szabályzatot idırıl-idıre felül kell vizsgálni, hogy az esetlegesen bekövetkezı változások esetén aktualitása szavatolt legyen. Ennek az intézkedésnek fontos szerepe van az IBIR rendszer megalapozásában és gondozásában. Vizsgálati szempontok: 1) A vizsgálónak meg kell bizonyosodnia arról, hogy a szervezet kidolgozta a válaszokat minden eseményre, új sérülékenységre vagy fenyegetésre, technológiai változásra vagy bármi másra, ami kapcsolatba kerülhet az IBIR rendszerrel és szükségessé teheti a politika felülvizsgálatát. 2) Továbbá rendszeres felülvizsgálatoknak is kell történnie, melyeknek biztosítaniuk kell, hogy a politika megfelelı és az elért biztonsági szinthez mérten költséghatékony. 3) A vizsgálónak meg kell bizonyosodnia arról, hogy a felülvizsgálatok ütemezése a kockázati helyzethez mérten megfelelı. 4) A vizsgálónak szintén ellenıriznie kell a szervezetnek az átalakított politikák a munkavállalók körében történı szétosztására és e változások tudatosítására irányuló egyéb terveit. Értékelés: •


•


44



2.2. Szervezeti Biztonság

2.2.1. Az informatikai biztonság belsı szervezeti struktúrája 2.2.1.1. Vezetıi elkötelezettség Vizsgálat tárgya: Az informatikai biztonsági fórum A vizsgált intézkedés célja: Menedzseri fórumot kell mőködtetni, amely biztosítja a biztonságfejlesztések egyértelmő irányvonalát és a vezetıség támogatását. Erre a mechanizmusra van szükség ahhoz, hogy a szervezet biztonsági igényeit azonosíthassuk, megfelelıen kezelhessük, és rendszeresen felülvizsgálhassuk. Ennek a testületnek kell megalapoznia és irányítania az IBIR-t. Vizsgálati szempontok: 1) A fórumnak megfelelı hatáskörrel kell rendelkeznie, így a vizsgálónak ellenıriznie kell, hogy az informatikai biztonságért felelıs személy vezeti, de legalább rész vesz annak munkájában. 2) A találkozók emlékeztetıit formálisan is rögzíteni kell, hasonlóképpen az elindított tevékenységeket is pontosan meghatározott módon kell követni. 3) A fórum tevékenyégéhez gyakorlatias módon kell hozzáállni: egy kisebb szervezet egyesítheti azt egy másik testülettel is, de ez esetben biztosítani kell, hogy megfelelıképpen kitérnek a biztonsági kérdésekre, illetve az emlékeztetıben jól láthatóan elkülönítve jelölik meg ezeket. Értékelés: •


•



45

Az informatikai biztonság irányításának vizsgálata 2.2.1.2. Az informatikai biztonság és a szerveti struktúra összehangolása Nagyobb szervezetek esetében az üzletágak képviselıibıl álló ágazatközi menedzseri fórumot kell létrehozni, hogy az hangolja össze az informatikai biztonsági intézkedések, ellenırzések megvalósítását. 2.2.1.3. Az informatikai biztonsági feladatok megosztása Vizsgálat tárgya: Az informatikai biztonsági feladatok megosztása A vizsgált intézkedés célja: Egyértelmően meg kell határozni az egyes vagyontárgyak védelmének és a biztonsági folyamatok megvalósításának a felelısségét. Vizsgálati szempontok: 1) A vizsgálónak meg kell bizonyosodnia arról, hogy a felelısségek a szervezet minden szintjén meg vannak határozva és bizonyítani is tudják azt, hogy a személyzet megértette és elfogadta ezeket a felelısségeket. 2) A biztonságpolitikát és a kockázatkezelési tervet általában magasabb szintő felelısségek és jelentési struktúrák meghatározására alkalmazzák, az informatikai biztonsági felelısségek részletes definícióját a munkaköri leírások vagy más egyéb személyre szabott formák segítségével definiáljuk. 3) Minden eszközhöz meg kell tudni találni azt a gazdát, akinek felelısséget kell vállalnia annak biztonságáért. 4) A vizsgálónak ellenıriznie kell, hogy kijelöltek-e valakit, aki az informatikai biztonságért általánosságban felelıs (pl. egy informatikai biztonsági vezetı) és minden eszköz tulajdonosa tisztában van felelısségével. 5) A vizsgálónak azt is ellenıriznie kell, hogy az ide kapcsolódó valamennyi dokumentum naprakész és megfelelıen ellenırzött. Értékelés: •


•


46


Az informatikai biztonság irányításának vizsgálata 2.2.1.4. Az adatfeldolgozás engedélyezési eljárásai Vizsgálat tárgya: Az adatfeldolgozás engedélyezési eljárásai. A vizsgált intézkedés célja: Elengedhetetlen, hogy a biztonsági ellenırzések rendszerét karbantartsuk és ezért az adatfeldolgozó szolgáltatásokban bekövetkezı változtatásokat, bıvítéseket a szükséges vezetıi engedélyeztetés és jóváhagyás útján ellenırizés alatt tartsuk. Meg kell határozni ennek eljárásait, majd be is kell vezetni azokat, végül hozzáférhetıvé kell tenni a kapcsolódó dokumentációkat. Vizsgálati szempontok: 1) A vizsgálónak meg kell bizonyosodnia arról, hogy a biztonsági infrastruktúrán elvégzett új telepítéseket, frissítéseket, beállításokat vagy bármilyen hasonló tevékenységet a megfelelı vezetıi szinten engedélyeztek, technikailag jóváhagytak, konfigurációs szempontból megfelelıen kezeltek és minden egyéb szempontból teljes mértékben dokumentáltak. Bármilyen új szolgáltatás bevezetését és a szervezet céljaira történı felhasználását egyértelmően engedélyezni szükséges. Értékelés: •


•

Nem felel meg a követelménynek: Ha a „vizsgálati szempontok” pontban felsorolt valamennyi követelmény és eljárás közül egyik sincsen megvalósítva. 2.2.1.5. Titoktartási nyilatkozatok

Vizsgálat tárgya: Titoktartási nyilatkozatok A vizsgált intézkedés célja: Az alkalmazottaknak titoktartási megállapodást kell aláírniuk alkalmazásuk munkaszerzıdésük keretében. Vizsgálati szempontok: 1) A vizsgálóknak ellenırizniük kell, hogy minden munkavállaló azokhoz és csak azokhoz az információkhoz férhetnek hozzá, melyekkel kapcsolatban aláírták a titoktartási megállapodást. 2) Ellenırizni kell továbbá, van-e a szervezetnél eljárás a látogatók kezelésére, vagyis az általuk látott vagy tevékenységük körébe esı információk alapján döntendı-e el, hogy szükséges-e a titoktartási megállapodást aláírniuk.


47

Az informatikai biztonság irányításának vizsgálata 3) Ezeket a dokumentumokat a személyzeti (humán erıforrás) területnek kell tárolnia és nyilvántartania, még a távozó és már távozott munkavállalók esetében is, amit szintén ellenırizni kell. Értékelés: •


•


2.2.1.6. Együttmőködés külsı szervezetekkel, hatóságokkal Vizsgálat tárgya: Együttmőködés külsı szervezetekkel A vizsgált intézkedés célja: Ez az ellenırzés megfelelı kapcsolatokat igényel külsı szabályozó testületekkel, szolgáltatókkal és másokkal, akiknek döntı szerepük lehet a biztonsági események megelızésében vagy azok hatásának csökkentésében. Vizsgálati szempontok: 1) A vizsgálónak ellenıriznie kell a megfelelı kapcsolatok létét, a váratlan eseményekre szóló tervezetek készítésében és az infrastruktúra támogatásában nyújtott segítségét. 2) A vizsgálónak bizonyítékot kell keresnie arra, hogy a jogi és iparági, szakmai mőködési valamint technikai követelményeket a megfelelıség érdekében figyelemmel kísérik. 3) A vizsgálónak meg kell bizonyosodnia arról, hogy a szervezet ismeri és dokumentálta az összes jogi követelményt és az ezek teljesítéséhez szükséges összes kapcsolat rendelkezésre áll. 4) Továbbá a szervezet számára segítséget jelenthet a részvétel egy, a legjobb gyakorlatot és közös fenyegetéseket ismertetı iparági tudásbázisban. Egy nagy szervezet bekapcsolódhat

biztonsági

szakemberek

munkacsoportjaiba,

szabványügyi

bizottságokba, és más, saját környezetükön kívüli tevékenységekbe. Kis szervezetek valószínőleg nem engedhetik meg maguknak a bekapcsolódást ezekbe a programokba, de konferenciákon és szemináriumokon való részvétellel részben hasonló célt érhetnek el. Értékelés:

48




•

Nem felel meg a követelménynek: Ha a „vizsgálati szempontok” pontban felsorolt valamennyi követelmény és eljárás közül egyik sincsen megvalósítva. 2.2.1.7. Együttmőködés különféle szakmai és információvédelmi szervezetekkel

Vizsgálat tárgya: A vizsgált intézkedés célja: Vizsgálati szempontok: 1) . Értékelés: •

Megfelel a követelménynek:

•

Nem felel meg a követelménynek: 2.2.1.8. Az informatikai biztonság független felülvizsgálata

Vizsgálat tárgya: Az informatikai biztonság független felülvizsgálata A vizsgált intézkedés célja: Az informatikai biztonsági szabályzat megvalósításának folyamatos, független felülvizsgálata. Vizsgálati szempontok: 1) A vizsgáló számára fontos, hogy ellenırizze, mely felülvizsgálatok vannak folyamatban és azokat egy külsı fél végzi-e. 2) Hasonló független felülvizsgálat nélkül nem lehet elérni valóban objektív eredményeket. A harmadik fél által végzett vizsgálat kielégíti ezt a követelményt. Ahol ez mégsem elégíti ki a követelményeket vagy egyéb okból kizárt, ott a vizsgálatot végezhetik belsı vizsgálók, vezetık, vagy egyéb, a gyakorlati biztonsági tevékenységeket végzıktıl független szakemberek. 3) Az egyéb felülvizsgálatok eredményeit, mint például a 2.10.2 pontban találhatóakat, a biztonságpolitika, valamint a mőszaki megfelelıség vizsgálatát is figyelembe kell venni. Értékelés: •

Megfelel a követelménynek: Ha a „vizsgálati szempontok” pontban felsorolt valamennyi biztonsági követelmény, eljárás definiált és maradéktalanul megvan. (Köztes


49

Az informatikai biztonság irányításának vizsgálata állapotok egyike sem fogadható el.) •

Nem felel meg a követelménynek: Ha a „vizsgálati szempontok” pontban felsorolt valamennyi követelmény és eljárás közül egyik sincsen megvalósítva. 2.2.1.8.1. Informatikai biztonsági tanácsadás

Vizsgálat tárgya: Az informatikai biztonsági tanácsadás A vizsgált intézkedés célja: A szervezet feladata meghatározni, hogy milyen tanácsra van szüksége – megfelelı lehet akár egy belsı informatikai biztonsági tudásbázis felépítése, akár megbízható, minısített külsı tanácsadók, elismert szakértık alkalmazása – bizonyos esetekben e kettı kombinációja adja a legjobb eredményt. Minden esetben világos kapcsolódásnak kell lennie a biztonsági fórum tevékenységével. Vizsgálati szempontok: 1) A vizsgálónak meg kell vizsgálnia, hogy milyen tanácsokat adtak, azok megfelelıek és minısítettek-e, továbbá van-e bármilyen más terület, ahol bár nyilvánvaló szükség volna tanácsra, de még nem kértek. Újra hangsúlyozzuk, hogy megfelelı szintő jóváhagyás alkalmazására van szükség a biztonsági ellenırzı eszközökhöz való hozzáféréskor, szükség esetén szállítói ellenırzéssel együtt. 2) Ajánlatos áttekinteni a biztonsági eseményekrıl szóló jelentéseket, hogy bevonták-e kijelölt szakembereket az okok kivizsgálásába és megtették-e a javasolt intézkedéseket. Egy kis szervezet kijelölt informatikai biztonsági vezetıje (vagy ennek megfelelı feladatkörő vezetıje) lehet a biztonsági hozzáértés egyetlen forrása. 3) A vizsgálónak meg kell bizonyosodnia arról, hogy ez elegendı a biztonsági követelmények teljesítéséhez, figyelembe véve a biztonsági, technológiai változásokat és szükség esetén külsı segítséget is igénybe vesznek. Értékelés: •


•


50


Az informatikai biztonság irányításának vizsgálata 2.3.1. Elıírások a külsı személyek által történı hozzáférésekkel kapcsolatban Az

intézkedés

célja:

információvagyonának

fenntartani

informatikai

a

szervezet

biztonságát,

adatfeldolgozó

amelyet

harmadik

eszközeinek felek

és

számára

hozzáférhetıvé tesznek. 2.3.1.1. A külsı személyek által történı hozzáférések kockázatai Vizsgálat tárgya: A külsı személyek által történı hozzáférések kockázatai A vizsgált intézkedés célja: Fel kell mérni azt a kockázatot, amelyet a harmadik felek hozzáférése jelent a szervezet adatfeldolgozó eszközeihez, és meg kell valósítani az alkalmas biztonsági óvintézkedéseket. Vizsgálati szempontok: 1) A vizsgálónak elsıként a harmadik fél hozzáférésébıl származó kockázatok szempontjából kell ellenıriznie a szervezet kockázatelemzését. 2) Kockázatok származhatnak a mainframe- vagy kiszolgálószoftverekhez való távoli hozzáférésbıl, az internetes kapcsolatból, vagy azokból az intranetes hálózatokból, melyek nem olyan elszigeteltek, mint amilyennek elsı pillantásra látszanak - különösen ott, ahol több telephely is van. 3) Ez a kapcsolódás az IBIR határain kívül esı szervezet része is lehet. Hasonlóképpen bármilyen, harmadik fél által történı fizikai hozzáférésre ki kell térni. Meg kell fontolni a harmadik fél biztonsági ellenırzését, hogy a védelmi intézkedések megfelelı védelmet nyújtanak-e és milyen gyakoriak a kockázatok ismételt vizsgálatai. Értékelés: •


•


2.3.1.3. Informatikai biztonsági követelmények a harmadik személlyel kötött szerzıdésekben Vizsgálat tárgya: Informatikai biztonsági követelmények a harmadik személlyel kötött szerzıdésekben Magyar Informatikai Biztonság Irányítási Követelményrendszer

51

Az informatikai biztonság irányításának vizsgálata A vizsgált intézkedés célja: Az adott szervezet adatfeldolgozó rendszereinek a harmadik fél hozzáférését is magában foglaló elrendezéseit olyan formális szerzıdésre kell alapozni, amely valamennyi biztonsági követelményt tartalmazza. Vizsgálati szempontok: 1) A vizsgálónak ellenıriznie kell, hogy a harmadik féllel kötött megegyezésben minden biztonsági követelményre kitértek és azt formális szerzıdésben vagy szolgáltatási szint megállapodásban (SLA) rögzítették a két szervezet között. 2) Az IBIK 4.2.2 fejezete útmutatást ad arról, hogy ilyen szerzıdésekben mely szempontokat kell megvizsgálni. Értékelés: •


•


2.3.2. Vállalkozásba adás 2.3.2.1. Informatikai biztonsági követelmények a harmadik személlyel kötött szerzıdésekben Vizsgálat tárgya: Elıírások a vállalkozásba adási szerzıdésekben A vizsgált intézkedés célja: A kihelyezett adatfeldolgozási tevékenységek komoly biztonsági kockázatokkal járnak, mivel a szervezet elveszti az közvetlen ellenırzést és befolyásolási lehetıséget e tevékenységek felett. A kihelyezéssel kapcsolatos kockázatok kezelésének

egyik

módja

szerzıdésben

világosan

meghatározni

a

biztonsági

követelményeket, szabályokat és a felek felelısségeit. Vizsgálati szempontok: 1) A vizsgálónak meg kell bizonyosodnia arról, hogy a létezik egy ilyen szerzıdés, mely lefedi a szervezet valamennyi biztonsági követelményét. 2) A vizsgálónak meg gyızıdnie arról, hogy a szerzıdés megírása elıtt történt-e kockázatfelmérés, elemzés. 3) Az IBIK 4.2.2 és 4.3.1 fejezetei útmutatást ad arról, hogy milyen pontokat kell 52


Az informatikai biztonság irányításának vizsgálata figyelembe venni egy hasonló szerzıdés elkészítésekor. Értékelés: •


•



53


2.4. Az eszközök biztonsági besorolása és ellenırzése

2.4.1. Számadási kötelezettségek az eszközökkel kapcsolatban 2.4.1.1. Eszköz- és vagyonleltár Vizsgálat tárgya: A szervezet vagyonának megfelelı védelme A vizsgált intézkedés célja: A szervezeteknek pontos eszközleltárt kell vezetniük. Ennek minden lényeges védendı adatot, szoftvert, fizikai eszközt, szolgáltatást és folyamatot tartalmaznia kell. A leltár felvétel elsıként az eszközök pontos azonosítását és osztályozását teszi szükségessé – lásd alább, a 2.3.2 szakaszban. Vizsgálati szempontok: 1) A vizsgálónak ellenıriznie kell a leltár megfelelı voltát, teljességét és pontosságát, valamint azt, hogy minden szükséges részletet tartalmaz-e és mikor lett frissítve. 2) Továbbá azt is, hogy a selejtezések rögzítésre kerültek-e idıpont és név megjelölésével. 3) Ellenırizni kell, hogy van felelıse a leltárnak, és hogyan védik a leltárt. Amennyiben számítógépes alapon történik az eszközök nyilvántartása, hogyan történik a hozzáférés ellenırzése és a biztonsági mentése. Ha papír alapú, akkor hol tárolják, és hogyan védik az elveszéstıl, megsemmisüléstıl, mi történik, ha megváltoztatnak bejegyzést, tárolnak-e régebbi leltárpéldányokat, milyen hosszú ideig és hol. 4) Az eszköz leltárnak azonosítani kell: 1. az adott példányt, ahol lehetséges egyedi sorszám, dátum stb. alapján, 2. a biztonsági besorolást, 3. a tulajdonost, 4. a helyet, 5. a hordozót (amennyiben adatról van szó), 6. az elsı illetve a rendszeres vizsgálat idıpontját. Értékelés: •


54



Nem felel meg a követelménynek: Ha a „vizsgálati szempontok” pontban felsorolt valamennyi követelmény és eljárás közül egyik sincsen megvalósítva. 2.4.2. Az adatok biztonsági osztályozása 2.4.2.1. Az osztályozás irányelvei

Vizsgálat tárgya: Az adatok osztályozásának irányelvei A vizsgált intézkedés célja: Az adat biztonsági osztályba sorolásának és az evvel kapcsolatos óvintézkedéseknek figyelembe kell venniük az üzleti igényt arra, hogy az adatot kölcsönösen megosszák vagy korlátozzák, valamint az ezen igényhez társuló üzleti befolyást. Vizsgálati szempontok: 1) A vizsgálóknak meg kell bizonyosodniuk arról, hogy a szervezet megfelelıképpen figyelembe vette és megvalósította a minısítési irányelveket. 2) Az eszközök megfelelı védelmének érdekében szükség van bizonyos fokozatokra vagy osztályozásra, megfelelı figyelmet fordítva a bizalmasság, sértetlenség és rendelkezésre állás kulcstényezıire. A minısítési séma alkalmazását ellenırizni kell minden, az IBIR hatáskörébe esı eszközre. Világos adatosztályozás nélkül nem lehet megfelelı védelmet biztosítani. 3) A séma nem lehet túl összetett, és más szervezetekkel való megállapodásokkal kell támogatni annak érdekében, hogy az esetlegesen különbözı osztályozási sémák érthetıek és konzisztensek maradjanak. Az eljárások indokolják, hogy miként ellenırizzük a helyes osztályozást. Esetleg egy eljárás visszaminısíti a létezı osztályozási szintet. 4) Ellenırizni kell, hogy a minısítési séma hozzáférhetı, a teljes személyzet számára érthetı és rendszeresen ellenırzött-e. 5) Meg kell vizsgálni, hogy az adott eszköz gazdája felelıssé van-e téve annak minısítéséért. Értékelés: •


•

Nem felel meg a követelménynek: Ha a „vizsgálati szempontok” pontban felsorolt


55

Az informatikai biztonság irányításának vizsgálata valamennyi követelmény és eljárás közül egyik sincsen megvalósítva.

2.4.2.2. Az adatok minısítése, címkézése és kezelése Vizsgálat tárgya: Az adatok minısítése, címkézése és kezelése A vizsgált intézkedés célja: A szervezet által elfogadott minısítési sémával összhangban alkalmas eljáráskészletet kell meghatározni az adat címkézésére és kezelésére. Vizsgálati szempontok: 1) A vizsgálónak meg kell vizsgálnia, hogy a jelölés helyesen jeleníti-e meg az egyedben található legérzékenyebb elemet (pl. egy adatfeldolgozó rendszerben vagy adatbázisban). 2) Az olyan fizikai elemek címkézése, mint dokumentumok, szalagok, hardver stb. egyértelmő. A fizikai eszközök címkéinek megfelelıségét meg kell vizsgálni a következı szempontok szerint: a) A címkéket meg lehet-e találni ott, ahol egyébként feltőnıeknek kellene lenniük. b) A felragasztott címkék eltávolíthatóak-e és ezzel az eszköz jelöletlenné és védtelenné válik-e. 3) Az elektronikus formátumok címkézésére választott megoldás alkalmasságát ellenırizni kell: tiszta és érthetı-e, a megfelelı címkét szállítja-e az adat fogadójához és ez a továbbiakban elvezet-e az adat kellıen biztonságos tárolásához. Értékelés: •


•


56



2.5. Személyi biztonság

2.5.1. Az alkalmazás elıtt Az ellenırzés tárgya: Gondoskodni az emberi hibák, a lopás, a csalás és a visszaélés kockázatának csökkentésérıl. 2.5.1.1. Informatikai biztonság a felvételnél és a munkaköri leírásokban Vizsgálat tárgya: Informatikai biztonsági követelmények érvényesítése a munkaköri leírásokban A vizsgált intézkedés célja: A szervezet informatikai biztonsági szabályzatában meghatározott módon a biztonsági szerepeket és felelısségi köröket a munkaköri leírás keretén belül írásba kell foglalni. Vizsgálati szempontok: 1) A vizsgálónak meg kell bizonyosodnia arról, hogy minden, az informatikai biztonságért különös felelısséggel tartozó munkavállaló rendelkezik-e munkaköri leírással vagy azzal egyenértékő dokumentummal, mely meghatározza a biztonsági szerepeket és felelısségeket. 2) A vizsgálóknak ellenırizniük kell azt, hogy a dokumentumot mind a munkavállaló, mind pedig a megfelelı vezetı is aláírta, ezzel bizonyítva, hogy megértették és egyet is értenek annak tartalmával. 3) Továbbá a dokumentum keltezett, valamint helyes és egyértelmő információkat tartalmaz a biztonsági kötelességekkel kapcsolatban. 4) Meg kell vizsgálni, hogy a munkaköri leírások az informatikai biztonságpolitikai dokumentum(ok)ban meghatározott biztonsági felelısségek ellenırzésével és egyéni eljárásokkal összhangban vannak-e. Értékelés: •


•

Nem felel meg a követelménynek: Ha a „vizsgálati szempontok” pontban felsorolt


57


2.5.1.2. A személyzet biztonsági átvilágítása és a személyzeti politika Vizsgálat tárgya: A személyzet biztonsági átvilágítása és a személyzeti politika A vizsgált intézkedés célja: A felvételi eljárásnak tartalmaznia kell a megfelelı biztonsági ellenırzéseket. Az IBIK 6.1.2 pontja mutatja be a vizsgálandó szempontokat. Általában nem elegendı pusztán a munkavállaló által biztosított önéletrajz állításaira hagyatkozni, azokat ellenırizni is szükséges. A további eljárásokat, például interjúkat dokumentálni kell. Eközben a biztonsági szempontok mellett az adatvédelmi és személyiségi jogi jogszabályokat is tiszteletben kell tartani. Vizsgálati szempontok: 1) A vizsgálónak meg kell vizsgálnia a felvételi eljárás során végrehajtandó következı ellenırzéseket: a) üzleti és személyi referenciák meglétét, b) a felvételre jelentkezı életrajzának ellenırzését (teljesség és pontosság), c) a legmagasabb iskolai végzettség (szakképzettség) ellenırzését, d) hatóság által kibocsátott azonosító iratot (személyi igazolvány vagy útlevél). 2) Államtitok vagy szolgálati titok kezelésének szükségessége esetén a nemzetbiztonsági ellenırzés pozitív eredményéhez (NATO vagy EU biztonsági tanúsítvány) kell kötni az alkalmazhatóságot (véglegesítést). 3) A személyzeti politikát a humánerıforrás-gazdálkodással foglalkozó terület készíti el a biztonsági szegmensek figyelembe vételével. A személyzet biztonsági átvilágításáról külön szabályzatban kell részletesen intézkedni. Ennek mindenképpen ki kell térnie a munkavállaló referenciáinak értékelésére, az életrajz pontosságának és teljességének vizsgálatára, a szakképzettség és az azt igazoló iratok meglétének ellenırzésére, illetve az összeférhetetlenség fennállásának vizsgálatára. Értékelés: •


58




2.5.1.3. A foglalkoztatás feltételei Vizsgálat tárgya: A foglalkoztatás feltételei A vizsgált intézkedés célja: Az alkalmazott informatikai biztonsági felelısségeit az alkalmazás feltételei között kell megállapítani. Vizsgálati szempontok: 1) A vizsgálónak meg kell bizonyosodnia arról, hogy a munkavállalás szabályai és feltételei pontosan leírják a munkavállaló biztonsági felelısségeit. Ebbe a körbe tartoznak a különféle jogi felelısségek, valamint a telephelyen- illetve a normál munkaidın kívül végzett feladatok is. 2) Ellenırizni kell továbbá, hogy a fenti szabályok kitérnek-e arra is, hogy mi történik akkor, ha nem tesznek eleget ezen kötelezettségeknek. 3) Fontos megvizsgálandó szempont, hogy a meglevı folyamatoknak a biztonsági felelısségekben bekövetkezı változások kezelésére is képeseknek kell lenniük. Értékelés: •


•


2.5.2. Az alkalmazás alatt Az ellenırzés célja: Gondoskodni arról, hogy a használók tudatában legyenek az informatikai biztonsággal kapcsolatos fenyegetettségeknek, gondoknak és fel legyenek vértezve mindazzal a tudással, amire azért van szükség, hogy a szervezet biztonsági szabályzatában elıírtakat szokásos napi munkájuk során betartsák.


59

Az informatikai biztonság irányításának vizsgálata 2.5.2.2. Az informatikai biztonsági oktatás és képzés Vizsgálat tárgya: Az informatikai biztonsági oktatás és képzés A vizsgált intézkedés célja: A szervezett valamennyi alkalmazottját (és ahol ez lehetséges az érintett harmadik fél felhasználóit is), a szervezet biztonsági szabályzatáról és eljárásairól a munkakör betöltéséhez szükséges szintő képzésben kell részesíteni és ismereteiket naprakészen kell tartani. Vizsgálati szempontok: 1) Az elsı vizsgálandó szempont, hogy a képzés az adott munkakörnek és biztonsági felelısségnek megfelelı-e. 2) Fontos vizsgálati szempont, hogy külsı vagy belsı erıforrásból biztosítják-e a képzést valamint a képzést végzı rendelkezik-e a megfelelı minısítéssel. 3) A szervezetnek legalább a belépéskor kell képzést biztosítania minden munkavállaló számára. Ennek keretében legalább a biztonság általános elveit és a biztonságpolitikákat kell ismertetni. 4) A vizsgálónak külön figyelmet kell fordítania arra, hogy a kiemelt munkakörök esetében a szervezet biztosítja-e dokumentáltan a munkavállaló számára, azt a többletképzést, mely munkakörével kapcsolatos biztonsági követelmények betartásához szükséges. Vizsgálat során ezeket is ellenırizni kell, mivel – különösen kulcspozícióban – egy nem kellıen vagy nem a megfelelı irányban képzett személy akaratlanul is nagy károkat tud okozni és veszélyeztetheti a szervezet céljainak elérését. Értékelés: •


•

Nem felel meg a követelménynek: Ha a „vizsgálati szempontok” pontban felsorolt valamennyi követelmény és eljárás közül egyik sincsen megvalósítva. 2.5.2.3. Fegyelmi eljárás

Vizsgálat tárgya: A fegyelmi eljárás A vizsgált intézkedés célja: Az intézkedés érzékeny pont a szervezetek számára, de fontos, hogy a biztonság megsértésére megfelelı válasz szülessen. Formális fegyelmi eljárásban felelısségre kell vonni a szervezet biztonsági szabályzatait és eljárásait megsértı

60


Az informatikai biztonság irányításának vizsgálata alkalmazottakat. A munkavállalóknak biztosaknak kell lenniük e folyamatok mőködésében, valamint abban, hogy korrekt és jogszerő elbánásban részesülnek. Vizsgálati szempontok: 1) A vizsgálónak meg kell vizsgálnia, hogy van-e a szervezetnél olyan vezetıi utasítás, amely definiálja az informatikai biztonsági rendszer megsértésének következményeit. 2) Amennyiben a szervezetnél már van lezárt fegyelmi eljárás, akkor a vizsgálónak a következı szempontok teljesülését kell megvizsgálnia: a) Megtörtént-e a fegyelemi esemény korrekt szakmai kivizsgálása; b) Arányban állt-e a szankció a fegyelemsértı cselekedettel szemben; c) A szervezet méreteihez képest aránytalanul magas vagy alacsony-e a fegyelmi eljárások száma; d) A fegyelmi eljárások kellıképpen dokumentáltak-e; e) Amennyiben a fegyelmi eljárással kapcsolatos dokumentáció a titokvédelmi törvények hatálya alá esı adatokat tartalmaz, megtörtént-e azok minısítése. f) Amennyiben szervezetnél még nem volt fegyelmi eljárás, vagy nem áll rendelkezésre kellı adat, abból arra következtethetünk, hogy nem mőködik jól a felelısségrevonási rendszer. Értékelés: •


•



61


2.6. Fizikai és környezeti biztonság

2.6.1. Biztonsági szegmensek Cél: megvédeni az üzleti helyszíneket és információt a jogosulatlan hozzáféréstıl, a sérüléstıl, valamint az illetéktelen beavatkozástól. 2.6.1.1. Biztonsági határok Vizsgálat tárgya: Biztonsági határok A vizsgált intézkedés célja: Minden szervezetnek biztosítaniuk kell értékeik fizikai védelmét, melyetet nagyobb szervezetek illetve védelmi rendszerek esetén folyamatosan figyelemmel is kell kísérni. A szervezetnek a biztonsági védısávokat olyan körzetek védelmére kell használnia, melyekben adatfeldolgozó eszközök vannak elhelyezve. Vizsgálati szempontok: 1) A vizsgálónak ez esetben potenciális behatolási lehetıségeket kell keresnie a helyszínek bejárásával és a hozzáférési eszközök (kulcsok, belépıkártyák) kezelési gyakorlatának áttekintésével. Értékelés: •


•


2.6.1.2. Beléptetési intézkedések Vizsgálat tárgya: A beléptetés fizikai eszközei A vizsgált intézkedés célja: A biztonsági körzeteket megfelelı beléptetı rendszerrel kell megvédeni annak érdekében, hogy csak a feljogosított személyzetnek engedjen hozzáférést. Vizsgálati szempontok: 1) Ellenırizni kell az óvintézkedések meglétét és hatékonyságát mind a munkavállalók, mind a látogatók esetében, például a belépıkártyákat illetıen. Értékelés: 62




•


2.6.1.3. Létesítmények és helyiségek biztonsága Vizsgálat tárgya: Létesítmények és helyiségek biztonsága A vizsgált intézkedés célja: Egy biztonsági körzet védelmének összhangban kell lennie az ott található legérzékenyebb információval. Biztonságos körzeteket kell kialakítani a sajátos biztonsági követelményekkel rendelkezı irodák, termek és eszközök védelmére. Vizsgálati szempontok: A vizsgálónak a következı védelmi intézkedések meglétérıl kell meggyızıdnie: 1) A kulcsfontosságú eszközök elhelyezése megakadályozza-e az illetéktelen személyek hozzáférését. 2) Az objektumok ne legyenek kirívóak, és ne mutassák céljukat, ne adják sem belül sem kívül nyilvánvaló jelét annak, hogy ott adatfeldolgozó tevékenység folyik. 3) Segédberendezések és eszközök, mint a fénymásolók, szkennerek, a biztonsági körzeteken belül legyenek elhelyezve, hogy ezzel is elkerüljük az illetéktelen hozzáférés lehetıségét, amely az információ veszélyeztetésével járna. 4) Az ajtók és ablakok akkor, amikor nincs a közelben felügyelı személyzet legyenek elreteszelve és az ablakok külsı védelmérıl is ajánlatos gondoskodni, különösen a földszinten. 5) A helyiségeket olyan alkalmas behatolásjelzı rendszerrel kell védeni, amely az összes külsı ajtót és hozzáférhetı ablakot (nyílászárót) lefedi és védi. 6) Az adott szervezet által kezelt és menedzselt adatfeldolgozó eszközöket fizikailag is ajánlatos elválasztani azoktól, amelyekkel harmadik felek is dolgoznak. 7) A névtárakat és a belsı telefonkönyveket, címjegyzékeket, amelyek érzékeny adatfeldolgozó eszközök helyét azonosítják, nem szabad a nyilvánosság számára elérhetıvé tenni.


63

Az informatikai biztonság irányításának vizsgálata 8) Veszélyes vagy gyúlékony anyagokat biztonságosan ajánlatos tárolni a biztonsági körzettıl biztos távolságban. A tömegesen leszállított árut, mint pl. az irodaszereket a biztonsági körzetben ajánlatos tárolni felhasználás elıtt. 9) A tartalékberendezést és a tartalékolt adathordozókat olyan biztonságos távolságban ajánlatos elhelyezni, amellyel elkerülhetı, hogy a központi telephely katasztrófája esetén kárt szenvedjenek. 10) A hozzáférés ellenırzés szempontjain túl figyelembe kell venni más veszélyforrásokat is: tőz, elárasztás, áramkimaradás ellen védett-e a helyiség és miként lehet csökkenteni, illetve javítani az esetlegesen bekövetkezı károkat. Értékelés: •


•


2.6.1.5. Munkavégzés a biztonsági szegmensekben Vizsgálat tárgya: Munkavégzés a biztonsági körzetekben A vizsgált intézkedés célja: Az ilyen területen dolgozó személyeket alá kell vetni a megfelelı biztonsági ellenırzésnek és oktatásnak. A védett területekre kizárólag az arra felhatalmazott személyek léphetnek be. Vizsgálati szempontok: A vizsgálónak meg kell vizsgálni, hogy: 1) a személyzet tudatában van-e a biztonsági körzetek létezésének, és hogy azokban tevékenységet csak meghatározott célból szabad végeznie; 2) a biztonsági körzetben biztosítható-e a felügyelt munkavégzés, egyrészt a biztonság érdekében, másrészt hogy így a rosszindulatú tevékenység lehetıségét is megelızzük; 3) a személyzet nélkül hagyott biztonsági körleteket fizikailag le vannak-e zárva és folyamatos ellenırzés alatt állnak-e; 4) harmadik félként (külsı személy) dolgozó, vagy egyéb támogató munkát végzı személyzetnek csak korlátozott hozzáférést (belépést) adnak-e és azt is csak a szükséges

64


Az informatikai biztonság irányításának vizsgálata esetben és idıtartamra a biztonsági körletekbe; 5) mennyire nehéz a védett területrıl ki- illetve oda bejuttatni információt különféle hordozókon, lehetséges-e felvételek készítése, rögzítı berendezések be- illetve kijuttatása; 6) alkalmazzák-e a következı utasításokat a beléptetés rendjére vonatkozósn a biztonsági területeken belül: a) Az állandó belépési jogosultsággal rendelkezı személyek arcképes, az eseti belépési jogosultságot kapott személyek fénykép nélküli kitőzıt kötelesek-e viselni. b) Látogatók, vendégek csak kísérettel tartózkodhatnak-e az objektumban. c) A kitőzıt nem viselı személyt minden munkatárs köteles-e figyelmeztetni a kitőzı használatára, és ha ez nem vezet eredményre, az objektum biztonságáért felelıs személyt értesíteni kell-e. Értékelés: •


•

Nem felel meg a követelménynek: Ha a „vizsgálati szempontok” pontban felsorolt valamennyi követelmény és eljárás közül egyik sincsen megvalósítva. 2.6.1.6. A kiszolgáló területek és raktárak biztonsági elkülönítése

Vizsgálat tárgya: A kiszolgáló területek és raktárak biztonsági elkülönítése A vizsgált intézkedés célja: A kézbesítési valamint a rakodási körzeteket, ügyfélfogadó tereket ellenırizni kell és ahol csak lehetséges el kell szigetelni az adatfeldolgozó eszközöktıl a jogosulatlan hozzáférés elkerülésére érdekében. Vizsgálati szempontok: A vizsgálónak a következı biztonsági intézkedések megvalósítását kell megvizsgálnia: 1) Az épületen kívüli raktárakhoz való hozzáférés az azonosított és felhatalmazott személyzetre van-e korlátozva. 2) A raktárakat úgy kell tervezni, hogy a szállítmányokat úgy lehessen lerakodni, hogy a kiszállító személyzetnek ne kelljen belépnie, az épület más részeibe. 3) A raktár külsı ajtóinál biztonsági ajtókat kell alkalmazni arra az esetre, amikor a belsı ajtók nyitva vannak.


65

Az informatikai biztonság irányításának vizsgálata 4) A bejövı anyagokat a lehetséges veszélyekre tekintettel ajánlatos megvizsgálni/megtekinteni mielıtt azok a raktárból végleges használati helyükre kerülnek. 5) A bejövı anyagokat, ha ez alkalmas, ajánlatos már a telephelyre belépésükkor nyilvántartásba venni. Értékelés: •


•


2.6.2. A berendezések fizikai védelme Az intézkedés célja: Megvédeni a vagyont az elveszéstıl, sérüléstıl és fenyegetettségektıl, valamint biztosítani az üzletfolytonosságot. 2.6.2.1. A mőszaki berendezések elhelyezése és védelme Vizsgálat tárgya: A mőszaki berendezések elhelyezése és védelme A vizsgált intézkedés célja: A berendezéseket úgy kell elhelyezni és védeni, hogy csökkentsük a környezeti fenyegetések és veszélyek kockázatát, valamint a jogtalan hozzáférés lehetıségeit. Vizsgálati szempontok: Az auditálás során a szervezeteknek bizonyítaniuk kell berendezéseik védelmét: 1) A fontos berendezéseket lehetıség szerint a kockázatot jelentı területektıl távol kell elhelyezni. 2) Eközben figyelni kell az érzékeny információkat tartalmazó monitorok, kijelzık láthatóságának korlátozására, a lehallgatás elleni védelemre. 3) A szándékos károkozás és lopás mellett védelmet kell biztosítani a véletlen események és a kaotikus környezeti feltételek (rendetlenség, óvatlan mozgatás stb.), és az elemi

66


Az informatikai biztonság irányításának vizsgálata csapások ellen is. Értékelés: •


•


2.6.2.2. Energiaellátás Vizsgálat tárgya: Az energiaellátás A vizsgált intézkedés célja: A berendezést meg kell védeni a tápáramellátás meghibásodásától és más villamos rendellenességektıl. Vizsgálati szempontok: Meg kell vizsgálni, hogy a szervezetnél megvalósításra kerültek-e azok az intézkedések, amelyekkel a tápáramellátás folyamatosságát biztosítani lehet: 1) a többutas betáplálást, hogy a tápáramellátásban egy ponton keletkezett hiba hatását elkerüljük; 2) folyamatos, megszakításmentes tápegység alkalmazását (UPS, uninterruptable power supply), és azok rendszeres karbantartását, tesztelését; 3) tartalékáramforrás alkalmazását. Értékelés: •


•


2.6.2.3. A kábelezés biztonsága Vizsgálat tárgya: A kábelezés biztonsága A vizsgált intézkedés célja: Az áramellátás kábelezését, valamint az adattovábbító és az informatikai szolgálatok ellátásában használt hálózatokat meg kell védeni a zavartatásoktól Magyar Informatikai Biztonság Irányítási Követelményrendszer

67

Az informatikai biztonság irányításának vizsgálata és a sérülésektıl. Vizsgálati szempontok: Meg kell vizsgálni a következı biztonsági szempontok megvalósítását: 1) Az adatfeldolgozó rendszerek energetikai és távközlıkábelei, ahol csak lehetséges a föld alatt van-e vezetve, vagy megfelelı alternatív védelemmel vannak-e ellátva. 2) A hálózati kábelezés védett-e a jogosulatlan lehallgatástól és károsodástól, például külön védıcsövek alkalmazásával vagy azzal, hogy elkerüljük a közterületen való vonalvezetést. 3) A különféle zavarások elkerülése érdekében az adatátviteli (távközlési) kábelek el vannak-e különítve az energiaellátás biztosító (erısáramú) kábelektıl. 4) Az érzékeny és a kritikus rendszerek esetében megvalósításra kerültek-e a következı védelmi intézkedések: a) Lezárt helyiségek és szekrények használata végpontokban és a vizsgálati pontokon; b) Alternatív forgalomirányítás használata vagy alternatív átviteli közegek alkalmazása; c) Fénykábelek alkalmazása; d) A kábelekhez csatlakoztatni szándékozott jogosulatlan eszközök kitiltása; e) Kábelnyilvántartás vezetése; f) Kábel-címkézés a védett vonalak megjelölésére, a követhetıség biztosítására. Értékelés: •


•


2.6.2.4. A berendezések karbantartása Vizsgálat tárgya: A berendezések karbantartása A vizsgált intézkedés célja: A berendezéseket folyamatosan karban kell tartani, hogy így gondoskodjunk azok folyamatos rendelkezésre állásáról és sértetlenségérıl. Vizsgálati szempontok: 68


Az informatikai biztonság irányításának vizsgálata Meg kell vizsgálni a következı biztonsági szempontok megvalósítását: 1) A berendezések specifikációiban javasolt idıközönként történik-e berendezések karbantartása. 2) A berendezések kezelését, illetve javítását csak megfelelı szakképzettséggel rendelkezı személyek végezhetik-e. 3) Az informatikai berendezések saját erıforrásokkal történı javítása, karbantartása esetén gondoskodnak-e

a

berendezésen

tárolt

adatok

mentésérıl,

és

annak

visszaállíthatóságáról. 4) Az informatikai berendezések külsı helyszínen történı javítása, karbantartása esetén gondoskodnak-e a berendezésen tárolt adatok végleges (visszaállíthatatlan) törlésérıl. 5) Külsıs karbantartó személyek esetén, a kritikus adatfeldolgozó berendezések karbantartásakor biztosítja-e a szervezet a megfelelı fizikai, logikai védelmi intézkedéseket (pl. állandó felügyeletet). 6) Van-e szervezetnél megvalósított karbantartási terv, ennek megtörténik-e az idıszakos felülvizsgálata. Értékelés: •


•


2.6.2.5. A telephelyen kívüli berendezések védelme Vizsgálat tárgya: A telephelyen kívüli berendezések védelme A vizsgált intézkedés célja: Biztonsági eljárásokat és óvintézkedéseket kell használni arra, hogy a berendezéseket a szervezet telephelyén kívüli is biztonságossá tegyük. Vizsgálati szempontok: Meg kell vizsgálni a következı biztonsági szempontok megvalósítását: 1) Biztosítva van-e a házon kívülre helyezett berendezések és közegek felügyelete, amíg azok közterületen vannak.


69

Az informatikai biztonság irányításának vizsgálata 2) A gyártók berendezés-védelmi utasításait betartják-e. 3) Az távmunkavégzés esetében milyen óvintézkedéseket valósított meg a szervezet, dokumentálta-e és alkalmazza-e ezeket. (például lakatolható tárolószekrényekben való elhelyezés, logikai hozzáférésvédelem stb.) 4) A biztonsági kockázatok, mint például a sérülés, az ellopás vagy a lehallgatás, helytıl függıen nagymértékben különbözhetnek, és ezt a legmegfelelıbb óvintézkedések meghatározásakor figyelembe vette-e a szervezet. Értékelés: •


•


2.6.2.6. A berendezések biztonságos tárolása és újrafelhasználása Vizsgálat tárgya: A berendezések biztonságos tárolása és újrafelhasználása A vizsgált intézkedés célja: A selejtezés vagy ismételt használatbavétel (pl. áthelyezés) esetén az informatikai eszközökön tárolt információkat visszaállítathatatlanul (pl. többszörös felülírás segítségével) törölni kell. Vizsgálati szempontok: Meg kell vizsgálni a következı biztonsági szempontok megvalósítását: 1) Selejtezés során megtörténik-e az érzékeny információt tartalmazó tárolóeszközök, médiák megsemmisítése, vagy biztonságos többször-, váltakozó bitmintával történı felülírása. 2) A

berendezéseknek

a

tárolóközeget

tartalmazó

valamennyi

részegységét,

a

lemezegységeket ellenırizték-e annak érdekében, hogy érzékeny információt és a vásárolt (licensz szerinti) szoftvereket arról eltávolították és felülírták, mielıtt mások rendelkezésére bocsátották volna. 3) Az érzékeny információt tartalmazó, de sérült tárolóeszközök kockázatelemzést igényelnek annak meghatározására, hogy mi jobb, az adott eszközt megsemmisíteni, vagy megjavítattni.

70


Az informatikai biztonság irányításának vizsgálata 4) Megtörténik-e a szervezetnél a garanciális cserére átadott meghibásodott adathordozók (harddiskek, mágnesszalagok) demagnetizálása. Értékelés: •


•



71


2.7. Számítógépes hálózati szolgáltatások és az üzemeltetés menedzsmentje A rendszerszintő biztonságpolitika támogatására biztonsági üzemeltetési eljárásokat bemutató dokumentumokat kell készíteni és gondozni. Ezeknek tartalmazniuk kell a biztonsággal összefüggı napi rendszerességő üzemeltetési teendıket és azt, hogy ki a felelıs ezek végrehajtásáért és felügyeletéért. 2.7.1. Üzemeltetési eljárások és felelısségek Az ellenırzés célja: gondoskodni az adatfeldolgozó eszközök pontos és biztonságos mőködésérıl. 2.7.1.1. Az üzemeltetési eljárások dokumentációja Vizsgálat tárgya: Az üzemeltetési eljárások dokumentációja A vizsgált intézkedés célja: Az üzemeltetési eljárásokat írásba kell foglalni a rendszerszintő biztonsági szabályzatnak megfelelıen és azt karban kell tartani. Vizsgálati szempontok: 1) A vizsgálónak munkája során ellenıriznie kell az üzemvitel eljárásait és azok dokumentációját. Annak érdekében, hogy ezt hatékonyan tudja végezni, ismernie kell a szervezet mőködésének lényegét. 2) Az üzemeltetési eljárások dokumentációinak a munkafolyamat minden részelemének vonatkozásában részletes utasításokat tartalmaz-e a következık szerint: a) az adatkezelés, (feldolgozás és tárolás), b) tervezett követelmények, más rendszerek bizalmasságának sérülékenysége, c) munkaidın kívüli munkahelyen való tartózkodás, d) hibaesetekre és rendellenes mőködésre vonatkozó eljárások, e) hardver- és szoftver karbantartási eljárások, f) munkavégzés közben fellépı kivételes állapotok kezelése, g) rendszer újraindítása és visszaállítása. Értékelés: •


• 72

Nem felel meg a követelménynek: Ha a „vizsgálati szempontok” pontban felsorolt Magyar Informatikai Biztonság Irányítási Követelményrendszer

Az informatikai biztonság irányításának vizsgálata valamennyi követelmény és eljárás közül egyik sincsen megvalósítva. 2.7.1.2. Változásmenedzsment Vizsgálat tárgya: Változásmenedzsment és ellenırzés az üzemeltetés során A vizsgált intézkedés célja: Az adatfeldolgozó eszközök és rendszerek változásait folyamatosan nyomon kell követni és ellenırzés alá kell vonni. Vizsgálati szempontok: 1) A vizsgálónak ellenıriznie kell, hogy a változások ellenırzése a vezetıi felelısség körébe tartozik-e és vannak-e formális eljárások a támogatására. 2) Meg kell gyızıdni arról, hogy a szervezet minden üzemviteli változást nyomon követ-e, és ezeket a változásokat rögzíti-e valamilyen formában. 3) Ellenırizni kell, hogy a változásokat megelızi-e valamilyen ellenırzı eljárás, és ki van-e alakítva ezek felelısségi köre. 4) Meg kell vizsgálni, hogy az üzemeltetı a változások minden lényeges részletét közli-e minden arra illetékes személlyel. 5) A változásokat megelızıen definiált-e a sikertelen változtatások félbeszakítása és az eredeti állapot visszaállítására vonatkozó eljárás és annak felelısségi köre. 6) Meg kell vizsgálni a változtatási eljárások engedélyezési eljárásait: a) van-e feladatspecifikus engedélyezı személyeket tartalmazó lista, b) meg szabályozva vannak-e a folyamatok. Értékelés: •


•


2.7.1.3. A feladatkörök elhatárolása Vizsgálat tárgya: A feladatkörök biztonsági szétválasztása


73

Az informatikai biztonság irányításának vizsgálata A vizsgált intézkedés célja: Egyes feladatokat és felelısségi köröket szét kell választani, hogy az információ vagy a szolgáltatások jogosulatlan módosítására vagy visszaélésre vezetı alkalmak esélyét minimalizáljuk. Vizsgálati szempontok: 1) Ellenırizni kell, hogy a felelısségek, feladatok szétválasztásának és egyenletes elosztásának rendszere folyamatos marad-e a betegségek, nagyobb szabadságolások idıszakában is. Ez a kis szervezeteknek az IBIK 8.1.4 pontjával egybehangzóan nehézségeket okozhat, de az elvet a lehetıségek mértékében alkalmazni kell. 2) A munkafolyamatok áttekintésekor figyelni kell az összejátszások lehetıségeire és a túlzottan nagy, illetve kitárólagos döntési vagy ellenırzési hatáskörökre, melyek átalakítása javasolt. Külön figyelmet kell fordítani az önellenırzési lehetıségek feltárására. Értékelés: •


•


2.7.1.4. A fejlesztési és az üzemeltetési feladatok szétválasztása Vizsgálat tárgya: A fejlesztési és az üzemeltetési feladatok szétválasztása A vizsgált intézkedés célja: A fejlesztı, a vizsgáló és az üzemeltetési eszközök szétválasztása azért is fontos, mert ezzel lehet elérni a vonatkozó szerepek elkülönítését. Azokat a szabályokat, amelyek mentén valamely szoftvert a fejlesztési szoftverek közül az üzemi szoftverek közé soroljuk, ajánlatos meghatározni és dokumentálni. Vizsgálati szempontok: 1) A vizsgálónak át kell tekintenie, hogy miként mőködik a szétválasztás és valóban hatékony-e az adott megoldás. 2) Támogatja-e a feladatelhatárolást a hozzáférésvédelmi és vezetıi feljogosítási rendszer. Értékelés: •

74

Megfelel a követelménynek: Ha a „vizsgálati szempontok” pontban felsorolt


Az informatikai biztonság irányításának vizsgálata valamennyi biztonsági követelmény, eljárás definiált és maradéktalanul megvan. •


2.7.1.5. Külsı létesítmények üzemeltetése Vizsgálat tárgya: Távoli létesítmények, eszközök üzemeltetése A vizsgált intézkedés célja: A külsı eszközmenedzselı szolgáltatás használatba vétele elıtt fel kell tárni az ebbıl eredı kockázatokat, és egyeztetni kell a szerzıdı féllel az alkalmas óvintézkedéseket, majd ezeket szerzıdésbe kell foglalni. Vizsgálati szempontok: 1) A vizsgálónak ellenıriznie kell a létesítményüzemeltetéssel („Facility Management”) kapcsolatos szolgáltatások megvalósítását és hogy a fenti szempontok miként jelennek meg ebben. 2) A folyamatos felügyelet eredményeit is át kell tekinteni, valamint azt, hogy a szervezet felhasználja-e ennek eredményeit és ismeri-e a folyamatok részleteit és az abban résztvevı külsı szervezetek, személyek megbízhatóságát, hátterét. 3) A külsı létesítmények üzemeltetésének biztonsági szempontjait az IBIK 8.1.6 fejezete határozza meg. Értékelés: •


•



75

Az informatikai biztonság irányításának vizsgálata 2.7.3. Informatikai rendszerek tervezése és átvétele Az ellenırzés célja: Minimalizálni a rendszerhibák kockázatát. 2.7.3.1. Kapacitástervezés Vizsgálat tárgya: Az informatikai rendszer teljesítményének biztosítása A vizsgált intézkedés célja: A kapacitásigényt folyamatosan figyelemmel kell kísérni, és a jövıre nézve tervezni kell, hogy mindig kellı mértékő feldolgozási teljesítmény és tárolókapacitás álljon rendelkezésre. Vizsgálati szempontok: 1. Meg kell vizsgálni, hogy a szervezetnél van-e használatban kapacitás ellenırzı és tervezési eljárás, ami kiterjed:a kiszolgálógépek (Mainframe- és szervergépek) erıforrásaira (processzor, memória és tárkapacitás); 2. a szervezetnél használt munkaállomások kapacitására; 3. a kommunikációs hálózatok sávszélességére; 4. a telefonközpontok kapacitására; 5. a mentési eszközök kapacitás igényére; 6. az elektromos energiaellátó hálózatok terhelhetıségére; 7. az

informatikai

rendszert

és

rendelkezésre

állását

biztosító

berendezések

teljesítményére (klímaberendezések, szünetmentes tápegységek, oltó berendezések stb.); 8. a géptermek, és az informatikai rendszer infrastruktúráját kiszolgáló helyiségek, rack-szekrények befogadóképességére. Értékelés: •


•


76



2.7.3.2. A rendszer átvétele Vizsgálat tárgya: A rendszer átvétele A vizsgált intézkedés célja: Az új informatikai rendszerek biztonságos üzemeltetése érdekében a szervezeteknek ki kell alakítaniuk a rendszerfrissítések és az új változatok átvételi követelményeit, és megfelelı szintő rendszervizsgálatokat kell elvégezni az átvétel elıtt. Vizsgálati szempontok: 1) Új vagy frissített rendszerek bevezetése alapos tervezést igényel. Meg kell bizonyosodni arról, hogy az átvételhez világos kritériumrendszer áll rendelkezésre. Ezek közé kell, hogy tartozzon: a) a dokumentált tesztelés, melynek nem csupán az újonnan bevezetett funkciókra, hanem lehetıleg a teljes rendszerre és általános biztonsági szempontokra is ki kell terjednie; b) a gyakorlati alkalmazást pedig minden esetben vezetıi jóváhagyásnak és a legtöbb alkalommal oktatásnak kell megelıznie. 2) A rendszerek átvételének biztonsági szempontjait az IBIK 8.2.2 fejezete határozza meg. Értékelés: •


•


2.7.4. Védelem rosszindulatú programok ellen Vizsgálat tárgya: Védelem rosszindulatú programok ellen A vizsgált intézkedés célja: Megvédeni a szoftver és az információ bizalmasságát, sértetlenségét és rendelkezésre állását. Vizsgálati szempontok: 1) A rosszindulatú kódok ellen védı szoftverek alkalmazására számos lehetıség kínálkozik.


77

Az informatikai biztonság irányításának vizsgálata A vizsgálónak meg kell vizsgálnia azt, hogy a védelem a rendszer egészére érvényesül-e és mindig a legújabb, biztonságos helyrıl és módon beszerzett frissítésekkel mőködik-e. 2) Tisztázottnak kell lennie a rosszindulatú szoftverek felbukkanása esetén követendı eljárásoknak, melyeket rögzíteni és tudatni is szükséges a felhasználókkal. 3) A rosszindulatú programok elleni védelem szempontjait az IBIK 8.3 fejezete határozza meg. Értékelés: •


•


2.7.4.1. A rosszindulatú programokat ellenırzı eszközök Vizsgálat tárgya: A rosszindulatú programok ellen védı eszközök A vizsgált intézkedés célja: A rosszindulatú szoftver elleni védelem érdekében megelızı, detektáló és eltávolító eszközöket kell használni, valamint felhasználókat ezek használatáról naprakészen informálni kell. Vizsgálati szempontok: 1) A rosszindulatú programok ellen védı eszközök biztonsági szempontjait az IBIK 8.3.1 fejezete határozza meg. Értékelés: •


•


Értékelés: •


•


78



2.7.6. Hálózatmenedzsment Az ellenırzés célja: Megóvni a hálózaton áthaladó információt és megvédeni a hálózati infrastruktúrát. 2.7.6.1. Hálózatbiztonsági intézkedések Vizsgálat tárgya: A vizsgált intézkedés célja: Vizsgálati szempontok: 1) Értékelés: •


•

Nem felel meg a követelménynek: Ha a „vizsgálati szempontok” pontban felsorolt valamennyi követelmény és eljárás közül egyik sincsen megvalósítva. 2.7.6.2. Hálózati szolgáltatások biztonsága

Vizsgálat tárgya: A hálózati szolgáltatások biztonsága A vizsgált intézkedés célja: Mivel a különbözı hálózatok szolgáltatásainak kínálata rendkívül széles, jelentıs részük számos többletszolgáltatással rendelkezik, ezért fontos, hogy a rendszer telepítése során csak azokat a hálózati szolgáltatásokat implementáljuk a rendszerben, melyekre az üzemeltetéshez feltétlen szükség van. Vizsgálati szempontok: A vizsgálónak meg kell vizsgálnia a következı védelmi intézkedések megvalósítását: 1) A feleslegesen felinstallált hálózati szolgáltatások, protokollok esetleges biztonsági rések elıfordulását megnövelhetik. A rendszerüzemeltetınek minden esetben fel kell mérnie, és minden részletre kiterjedıen dokumentálnia kell az általa üzemeltetett hálózati szolgáltatás egyedülálló, illetve összetett biztonsági jellemzıit. 2) Amennyiben több hálózati szolgáltatás mőködik a rendszerben, úgy ezek egymásra gyakorolt hatását is elemezni kell biztonsági szempontból. 3) A hálózati szolgáltatások biztonsági beállítása, valamint annak ellenırzése, karbantartása


79

Az informatikai biztonság irányításának vizsgálata a hálózatot üzemeltetı szerv feladata. Értékelés: •

Megfelel a követelménynek: Ha a vizsgálati szempontok pontban felsorolt valamennyi biztonsági követelmény, eljárás definiált és maradéktalanul megvan.

•

Nem felel meg a követelménynek: Ha a vizsgálati szempontok pontban felsorolt valamennyi követelmény és eljárás közül egyik sincsen megvalósítva.

2.7.7. Az adathordozók biztonságos kezelése Vizsgálat tárgya: Az adathordozók biztonságos kezelése A vizsgált intézkedés célja: Megvédeni a vagyontárgyakat a sérüléstıl és biztosítani az üzletmenet-folytonosságot. Vizsgálati szempontok: Meg kell vizsgálni a következı biztonsági szempontok megvalósítását: 1) Gondoskodik-e a szervezet az adathordozók ellenırzésérıl és fizikai védelmérıl. 2) Meg kell elızni a dokumentumok, a számítástechnikai adathordozók (szalagok, lemezek, kazetták),

az

input/output

adatok

és

a

rendszerdokumentációk

károsodását,

eltulajdonítását és engedély nélküli törlését. 3) Szabályozott-e az adathordozók beszerzése, tárolása és kezelése. 4) Biztosított-e, hogy az adathordozók kezelése – a vonatkozó iratkezelési szabályok szellemében,

–

a

tartalmazott

adatok

szempontjából

egyenértékő

papír

dokumentumokkal azonos módon történjék. 5) Vezet-e a szervezet nyilvántartást az adathordozókról és azok tartalmáról. 6) A szervezetnél szabályozott-e az adathordózók használata. 7) A szervezeten kívüli adatforgalomban használt adathordozók elıállítása, kiadása és fogadása az ügyviteli (iratkezelési) szabályzat elıírásai szerint a kijelölt helyeken, dokumentált és ellenırzött módon történhet. 8) Az adathordozók használatbavételét megelızik-e elıírt ellenırzı eljárások (pl. vírus

80


Az informatikai biztonság irányításának vizsgálata ellenırzés). 9) Az adattípus (minısítés) felismerhetı jelölését a számítástechnikai berendezéssel elıállított adattároló és megjelenítı eszközökön biztosítja-e a szervezet. Értékelés: •


•


2.7.7.1. Hordozható adathordozók kezelése Vizsgálat tárgya: Hordozható adathordozók kezelése A vizsgált intézkedés célja: Ellenırizni kell a hordozható informatikai adathordozók kezelését (pl. mentési szalagok, kazetták, lemezek, és a nyomtatott jelentések). Vizsgálati szempontok: 1) Át kell tekinteni, hogy az adathordozók miként hagyhatják el a telephelyet. 2) Meg kell vizsgálni, hogy ehhez minden esetben pontos naplózásra van-e szükség. 3) Olyan eljárásoknak kell mőködniük a szervezetnél, melyek megakadályozzák az információk kiszivárgását, például oly módon, hogy vagy egyáltalán nem alkalmaznak eltávolítható adathordozókat, vagy azok a telephelyrıl csak törlés illetve megsemmisítés után kerülhetnek ki. Értékelés: •


•


2.7.7.1.1. Az adathordozók tárolása Vizsgálat tárgya: Az adathordozók tárolása Magyar Informatikai Biztonság Irányítási Követelményrendszer

81

Az informatikai biztonság irányításának vizsgálata A vizsgált intézkedés célja: Az adathordozó médiák selejtezését úgy kell végrehajtanunk, hogy a kiselejtezett adathordozón lévı információk ne legyenek visszaállíthatók. Vizsgálati szempontok: 4) A vizsgálónak ellenıriznie kell a hulladékként való kezelés általános szabályait az IBIK 8.6.2 szakaszában szereplı eszközökkel kapcsolatban. 5) Át kell tekinteni, hogy a hulladékok kezelésére, elszállítására milyen szerzıdések vannak érvényben, kik végzik a feladatokat és milyen módon. A folyamatoknak meg kell felelniük az ily módon kezelt legérzékenyebb információk biztonsági igényeinek. Értékelés: •


•


2.7.7.3. Adatkezelési eljárások Vizsgálat tárgya: Adatkezelési eljárások A vizsgált intézkedés célja: Olyan információkezelı és -tároló eljárásokat kell létrehozni, hogy megóvjuk az információt a jogosulatlan nyilvánosságra kerüléstıl és visszaéléstıl. Vizsgálati szempontok: 1) Ellenırizni kell az érzékeny információkat védı eljárásokat, bármilyen formában is létezzenek ezek az információk, összhangban a szervezet biztonsági minısítési rendszerével. 2) A vizsgálónak meg kell vizsgálnia az információkezelés felelısségi kérdéseit, valamint azt, hogy az információ kibocsátást, átadást, nyilvánosságra hozatalt is csak felhatalmazás útján lehet-e megtenni. 3) Amennyiben a dolgozók számára ismeretlen személyek kezelik az információkat – például futárok – további ellenırzéseket kell alkalmazni. 4) A vizsgálónak ellenıriznie kell az adatkezelés általános szabályait az IBIK 8.6.3 szakaszának szempontjai alapján. Értékelés:

82




•


2.7.7.4. A rendszerdokumentációk biztonsága Vizsgálat tárgya: Az informatikai rendszer dokumentációjának biztonsága A vizsgált intézkedés célja: A rendszerdokumentációt meg kell védeni a jogosulatlan hozzáféréstıl. A rendszerdokumentáció érzékeny adatokat tartalmazhat, ennek megfelelıen kell minısíteni és kezelni ezeket a dokumentumokat. Vizsgálati szempontok: 1) A vizsgálónak ellenıriznie kell a rendszerdokumentációk kezelésének általános szabályait az IBIK 8.6.4 szakaszának szempontjai alapján. Értékelés: •


•


2.7.8. Adatok és programok cseréje Vizsgálat tárgya: Adatok és programok cseréje A vizsgált intézkedés célja: Megvédeni a szervezetek között váltott információt az elveszéstıl, módosulástól, az illetéktelen hozzáféréstıl és a visszaéléstıl. Vizsgálati szempontok: 1) Meg kell vizsgálni, hogy az adatok és a programok szervezetek közötti átadása és cseréje ellenırzött folyamat-e és a csere megfelel-e a hatályos törvényeknek és egyéb szabályozóknak. 2) A vizsgálónak ellenıriznie kell az IBIK 8.7 szakaszában elıírt biztonsági szempontok megvalósulását.


83

Az informatikai biztonság irányításának vizsgálata Értékelés: •

Megfelel a követelménynek: Ha a „vizsgálati szempontok”pontban felsorolt valamennyi biztonsági követelmény, eljárás definiált és maradéktalanul megvan.

•

Nem felel meg a követelménynek: Ha a „vizsgálati szempontok” pontban felsorolt valamennyi követelmény és eljárás közül egyik sincsen megvalósítva. 2.7.8.2. Megállapodások az adatok és programok cseréjérıl

Vizsgálat tárgya: Megállapodások az adatok és programok cseréjérıl A vizsgált intézkedés célja: A szervezet más szervezettel adat- és programcserét kizárólag írásbeli szerzıdés alapján bonyolíthat, melyben utalni kell az érzékeny információk kezelésére is. Vizsgálati szempontok: 1) A vizsgálónak elsıként meg kell vizsgálniuk, hogy a cserefolyamatban mely szervezetek érintettek és e kapcsolatoknak milyen szerzıdéses hátterük van. Ez nem csak információkra, hanem szoftverekre is vonatkozik, például több résztvevıvel végzett összetett fejlesztési folyamatok során. 2) A vizsgálandó védelmi intézkedések részletezése az IBIK 8.7.1 szakaszában található. Értékelés: •


•


2.7.8.3. Adathordozók szállítása Vizsgálat tárgya: Adathordozók szállítása A vizsgált intézkedés célja: Meg kell védeni a szállítás alatt álló adathordozót a jogtalan hozzáféréssel, a visszaéléssel vagy a sérüléssel szemben. Vizsgálati szempontok: 1) A szállítást is szerzıdések szabályozzák, melyeket át kell tekinteni. 2) A szállításhoz használt eszközök biztonsága szintén vizsgálandó.

84


Az informatikai biztonság irányításának vizsgálata 3) A vizsgálónak meg kell gyızıdnie arról, hogy a szállító kiválasztásánál a szervezet mérlegelte-e a biztonsági szempontokat is. 4) A vizsgálandó védelmi intézkedések részletezése az IBIK 8.7.2 szakaszában található. Értékelés: •


•


2.7.8.4. Az elektronikus levelezés biztonsága Az ellenırzés tárgya: Az elektronikus levelezés használatára vonatkozó szabályzatot kell létrehozni, védelmi intézkedéseket kell hatályba léptetni és ezeket be kell tartatni az elektronikus levelezés biztonsága érdekében. 2.7.8.4.1. Biztonsági kockázatok Vizsgálat tárgya: Biztonsági kockázatok A vizsgált intézkedés célja: Az elektronikus levelezéssel kapcsolatos biztonsági kockázatok kezelése Vizsgálati szempontok: 1) A vizsgálónak meg kell gyızıdnie arról, hogy az IBIK 8.7.4.1-es fejezetében definiált, elektronikus levelezéssel járó kockázatok ellen a szervezet foganatosított-e védelmi intézkedéseket és ezek hogyan jelennek meg az informatikai biztonságpolitikában és a gyakorlatban. Értékelés: •


•



85

Az informatikai biztonság irányításának vizsgálata 2.7.8.4.2. Az elektronikus levelezés irányelvei Vizsgálat tárgya: Az elektronikus levelezés irányelvei, biztonsága A vizsgált intézkedés célja: A szervezet elektronikus levelezési szolgáltatásának, biztonságossá tétele és a jogszabályi feltételeknek való megfeleltetése. Vizsgálati szempontok: 1) A vizsgálónak meg kell gyızıdnie arról, hogy az IBIK 8.7.4.2-es fejezetében definiált irányelvek, hogyan kerültek megvalósításra a szervezetnél. 2) Hogyan lehet ellenırizni az elektronikus levelekben található vagy hozzájuk csatolt információkat? 3) Miként lehet az üzenet forrását és sértetlenségét megállapítani? Miként lehet és mikor szükséges érvényes visszaigazolást adni? 4) Az elektronikus levelek tartalma, és kezelése jogi kockázatot is jelent, ezért a vizsgálónak meg kell gyızıdnie arról, hogy a szervezet tiszta és egyértelmő politikával kell rendelkezni ezzel kapcsolatban. Értékelés: •


•


2.7.8.5. Üzleti információs rendszerek Vizsgálat tárgya: Irodaautomatizálási rendszerek biztonsága A vizsgált intézkedés célja: Létre kell hozni azokat a szabályzatokat és útmutatókat, amelyekkel az elektronikus irodai rendszerek üzleti és a biztonsági kockázatait ellenırzés alatt lehet tartani. Vizsgálati szempontok: 1) A vizsgálónak ellenıriznie kell az irodaautomatizálási rendszerekhez való hozzáférés védelmét az IBIK 8.7.5 fejezetében definiált biztonsági szempontok alapján. Értékelés: • 86

Megfelel a követelménynek: Ha a „vizsgálati szempontok”a pontban felsorolt Magyar Informatikai Biztonság Irányítási Követelményrendszer

Az informatikai biztonság irányításának vizsgálata valamennyi biztonsági követelmény, eljárás definiált és maradéktalanul megvan. •


2.7.9. Az elektronikus kereskedelem biztonsága Vizsgálat tárgya: Az elektronikus kereskedelem biztonsága A vizsgált intézkedés célja: Az elektronikus kereskedelmi tevékenységet meg kell védeni a tisztességtelen beavatkozásoktól (pl. a szerzıdés vitatása, az információ felfedése vagy módosítása). Vizsgálati szempontok: 1) Fel kell deríteni, hogy a szervezet milyen elektronikus kereskedelemhez kapcsolódó tevékenységekben érintett jelenleg és mit tervez. 2) Csak feljogosított személyek végezhetik-e az elektronikus kereskedelmi tevékenységet. 3) Vannak-e a szervezetnél használatban megfelelı munkaszervezési intézkedések az összejátszások és más, a kereskedelemben szokásos kereskedelmi csalási formák kivédésére. 4) Meg kell vizsgálni, hogy vannak-e megfelelı kriptográfiai védelmi intézkedések az információk és a tranzakciós adatok védelmére. 5) Meg kell gyızıdni arról, hogy a hálózati kapcsolatok védelme megfelelınek tekinthetıe. 6) Szintén a vizsgálat tárgyát képezi, hogy felkészült-e a szervezet az elektronikus kereskedelemhez kapcsolódó egyéb veszélyforrások kivédésére Értékelés: •


•



87

Az informatikai biztonság irányításának vizsgálata 2.7.9.3. Nyilvános rendszerek biztonsága Vizsgálat tárgya: Nyilvános rendszerek A vizsgált intézkedés célja: Információ közzététele csak szabályozottan, meghatalmazott felhasználó által történhet, a közzétett információt pedig meg kell védeni a jogosulatlan módosítástól. Vizsgálati szempontok: 1) A vizsgálónak meg kell gyızıdnie arról, hogy minden munkavállalónak ismernie kell-e a nyilvánosságra hozható információkhoz kapcsolódó szerepeket és felhatalmazási szabályokat. 2) Meg kell vizsgálni az információknak és nyilvánosságra hozataluk módjának a hatályos jogszabályoknak való megfelelısségét. (Az információ megszerzésének módja feleljen meg a személyes adatok védelmérıl és a közérdekő adatok nyilvánosságáról szóló 1992. évi LXIII. törvény, illetve a tisztességtelen piaci magatartás és a versenykorlátozás tilalmáról szóló 1996. évi LVII. törvény rendelkezéseinek.) 3) Meg kell vizsgálni, hogy a szervezet hogyan gondoskodik a nyilvánosan elhelyezett információk sértetlenségérıl mindaddig, amíg azt felhatalmazás birtokában meg nem változtatják, vagy el nem távolítják. Értékelés: •


•


2.7.10. A biztonsági megfigyelı rendszer használata Vizsgálat tárgya: Hozzáférés a biztonsági monitoring rendszerhez és használata A vizsgált intézkedés célja: Észlelni a jogosulatlan tevékenységeket. Vizsgálati szempontok: 1) A vizsgálónak meg kell vizsgálnia a következı védelmi intézkedések megvalósítását: a) Figyelemmel kell kísérni a hozzáférési irányelvektıl való eltéréseket, és rögzíteni kell a megfigyelhetı eseményeket, hogy adott esetben bizonyítékul szolgáljanak a

88


Az informatikai biztonság irányításának vizsgálata biztonsági események kivizsgálásához, és segítséget nyújtsanak a szabályzat aktualizálásához. b) A rendszer nyomon követése tegye lehetıvé az ellenırzı eszközök hatékonyságának ellenırzését és egy, a hozzáférési irányelveknek való megfelelés hitelesítését. c) A biztonsági monitoring rendszert csak az arra feljogosítottak használhatják, és tevékenységüket naplózni kell. Értékelés: •


•


2.7.10.1. Biztonsági események naplózása Vizsgálat tárgya: Eseménynaplózás A vizsgált intézkedés célja: A kivételes és a biztonságot fenyegetı eseményeket eseménynaplóba kell bejegyezni és azt a hozzáférés nyomonkövethetısége érdekében meg kell ırizni. Vizsgálati szempontok: 1) Minden adatfeldolgozó rendszer tevékenységét a felhasználótól függetlenül, számára el nem érhetı módon naplózni kell. Biztosítani kell, hogy minden szükséges információ rögzítésre kerüljön, de legalább az események azonosítója, a kiváltó személy vagy rendszer, idıpecsét, ahol az alkalmazható az adott változás megjelölése, terminál- és tranzakciós kód is. A naplók tárolási idıtartama, formája és védelme is ellenırzendı. 2) A vizsgálónak meg kell állapítani a szervezet biztonsági besorolását, és az ellenıriznie kell az IBIK 9.7.1 pontja alatt felsorolt, a szervezet biztonsági szintjének megfelelı védelmi intézkedések megvalósítását. Értékelés: •


•

Nem felel meg a követelménynek: Ha a vizsgálati szempontok pontban felsorolt


89


2.7.10.2. A rendszerhasználat megfigyelése Vizsgálat tárgya: A rendszerhasználat követése A vizsgált intézkedés célja: Az adatfeldolgozó eszközök használatát ellenırzı eljárásokat kell mőködtetni és az ellenırzı tevékenységek eredményeit idırıl idıre felül kell vizsgálni. Vizsgálati szempontok: 1) A vizsgálónak meg kell állapítani a szervezet biztonsági besorolását és az ellenıriznie kell az IBIK 9.7.2 pontja alatt felsorolt a szervezet biztonsági szintjének megfelelı védelmi intézkedések megvalósítását. 2) Az ellenırzési funkcióhoz tartozik a naplók vizsgálata. A kockázatelemzési vizsgálatnak fel kell tárnia, hogy hol és milyen ellenırzésre van szükség. 3) Át kell tekinteni a naplók ellenırzésével kapcsolatos szabályozásokat és azok megvalósulását, különösen az ellenırzések gyakorisága, a felelısségek szétválasztása és az elemzést segítı alkalmazások (szőrık) esetében. Értékelés: •


•


2.7.10.2.1. Kockázati tényezık Vizsgálat tárgya: Kockázati tényezık értékelése A vizsgált intézkedés célja: Vizsgálati szempontok: 1) A vizsgálónak meg kell vizsgálnia, hogy a felülvizsgálat gyakorisága az érintett kockázattól függ-e, valamint még azt is, hogy a figyelembe veendı kockázati tényezık magukban foglalják-e: a) az alkalmazási folyamatok kritikusságát,

90


Az informatikai biztonság irányításának vizsgálata b) az érintett információ értékét, érzékenységét és kritikusságát, c) a rendszerbe való beszivárgásról és a rendszerrel való visszaélésrıl szóló korábbi tapasztalatokat, d) a rendszerkapcsolatok kiterjedtségét (különös tekintettel a nyilvános hálózatokra). Értékelés: •


•


2.7.10.2.2. Az eseménynaplózás értékelése Vizsgálat tárgya: Események naplózása és értékelése A vizsgált intézkedés célja: A figyelı, naplózó tevékenységek eredményeinek idırıl idıre történı felülvizsgálata. Vizsgálati szempontok: 1) A vizsgálónak meg kell vizsgálnia, hogy a felülvizsgálat gyakorisága az érintett kockázattól függ-e, valamint még azt is, hogy a figyelembe veendı kockázati tényezık magukban foglalják-e: a) az alkalmazási folyamatok kritikusságát, b) az érintett információ értékét, érzékenységét és kritikusságát, c) a rendszerbe való beszivárgásról és a rendszerrel való visszaélésrıl szóló korábbi tapasztalatokat, d) a rendszerkapcsolatok kiterjedtségét (különös tekintettel a nyilvános hálózatokra). Értékelés: •


•



91

Az informatikai biztonság irányításának vizsgálata 2.7.10.6. Rendszerórák szinkronizálása Vizsgálat tárgya: Dátum- és idıállítás A vizsgált intézkedés célja: Számítógépek óráit a pontos adatrögzítés érdekében össze kell hangolni. Vizsgálati szempontok: 1) A vizsgálónak a vizsgálat során kiemelt figyelmet kell fordítania az operációs rendszer és alkalmazás beállításának

dokumentációjának rendszerszintő

figyelembevételével eljárásaira,

a

mert

rendszerdátum minden

és

-idı

tevékenység

visszakereshetıségének alapja a hiteles, pontos dátum és idı. 2) Meg kell vizsgálni, hogy a rendszerdátum- és idı beállítására kizárólag az Informatikai Vezetı által kijelölt munkatársak jogosultak-e és az idıpont beállítását jegyzıkönyvezike. Értékelés: •


•


92



2.8. Hozzáférés menedzsment

2.8.1. A hozzáférés ellenırzés üzleti követelményei Az ellenırzés célja: Ellenırzés alatt tartani az információhoz történı hozzáférést. 2.8.1.1. A hozzáférés ellenırzés szabályai Vizsgálat tárgya: Irányelvek és üzleti követelmények A vizsgált intézkedés célja: Meg kell határozni és írásba kell foglalni a hozzáférésellenırzés üzleti követelményeit és a hozzáférési szabályzatban meghatározott módon korlátozni kell a hozzáférést. Vizsgálati szempontok: 1) A vizsgálónak meg kell bizonyosodnia arról, hogy a hozzáférés ellenırzés szabályai világos és egyértelmő hozzáférés ellenırzési politika keretében dokumentálva vannak, valamint léteznek és használatban vannak azok ez eszközök, melyek kikényszerítik e politika alkalmazását. 2) Ellenırizni kell, hogy az érzékeny információkhoz való bármilyen hozzáférés valamilyen speciális információ birtoklása a „need to know” – „szükséges tudás elve” alapján kell, hogy történjen. Értékelés: •


•


A szabályzat és az üzleti követelmények A hozzáférési rendszer figyelembe veszi: a) Az egyes üzleti alkalmazások biztonsági követelményeit? b) Az üzleti alkalmazásokra vonatkozó összes információ azonosítását?


93

Az informatikai biztonság irányításának vizsgálata c) Az információk terjesztésére és engedélyezésére vonatkozó irányelveket, azaz a „need to know” elvet, a biztonsági szinteket és az adatminısítés alkalmazását? d) A különbözı rendszerek és hálózatok hozzáférést-ellenırzı eszközeit és az információ minısítésére vonatkozó irányelvek közötti összhang megteremtését? e) Az adatok és szolgáltatások elérésének védelmére vonatkozó jogszabályi rendelkezéseket, társasági és más belsı szabályzatokat és a szerzıdésekben rögzített szabályokat? f) Azonos munkavállalói csoportokra vonatkozó egységes irányelveket? g) Hozzáférési jogok kezelését a kapcsolatok összes típusát felismerı osztott és hálózatba szervezett környezetben? 2.8.1.1.1. Hozzáférés ellenırzési szabályzat Vizsgálat tárgya: A hozzáférés ellenırzés szabályai A

vizsgált

intézkedés

célja:

A

hozzáférés-vezérlésnél

a

felhasználóknak

az

adatállományokhoz főzıdı jogosultságai egyedi elbírálás alapján személyenként vagy csoportonként kerüljenek meghatározásra. Vizsgálati szempontok: 1) A vizsgáló által vizsgálandó hozzáférésvédelmi szabályokat az IBIK 9.1.1.2 fejezete meghatározza. Értékelés: •


•

Nem felel meg a követelménynek: Ha a „vizsgálati szempontok” pontban felsorolt valamennyi követelmény és eljárás közül egyik sincsen megvalósítva. 2.8.2. A felhasználói hozzáférés menedzsmentje Az ellenırzés célja: Megvédeni az informatikai rendszereket a jogosulatlan hozzáféréstıl. 2.8.2.1. A felhasználó regisztrációja

Vizsgálat tárgya: A felhasználó bejelentkezése A vizsgált intézkedés célja: Valamennyi többfelhasználós informatikai rendszerhez és

94


Az informatikai biztonság irányításának vizsgálata szolgáltatáshoz formális nyilvántartásba vételi és kiléptetési eljárást kell alkalmazni a hozzáférési jogosultságok megadására. Vizsgálati szempontok: 1) A vizsgálónak meg kell gyızıdnie a felhasználói hozzáférések ellenırzésérıl és naplózásáról. 2) Meg kell vizsgálni, hogy a biztonságpolitikával összhangban a hozzáférési szintek a regisztrált felhasználókhoz rendelt jogosultságok alapján vannak-e kiosztva és biztosítva van-e a felhasználók egyedi azonosíthatósága. 3) Ellenırizni kell, hogy a hozzáférési szinteket folyamatosan naprakészen tartják-e és hogy nem maradhatnak-e a rendszerben felesleges jogosultságok, nem létezı felhasználók. 4) A vizsgáló által vizsgálandó részletes védelmi szempontokat az IBIK 9.2.1 fejezete meghatározza. Értékelés: •


•


2.8.2.2. A jogosultságok kezelése Vizsgálat tárgya: A jogosultságok kezelése A vizsgált intézkedés célja: Korlátozni és ellenırizni kell a hozzáférési jogosultságok kiosztását és használatát. Vizsgálati szempontok: 1) A vizsgálónak a vizsgálat megkezdése elıtt meg kell vizsgálnia a szervezetnek - az IBIK 5.2.1 fejezetében definiált - biztonsági besorolását. 2) A vizsgáló által vizsgálandó részletes, az adott védelmi szintnek megfelelı biztonsági szempontokat az IBIK 9.2.1 fejezete meghatározza. 3) Különös figyelmet kell fordítani a rendszer adminisztrátorokra, rendszermérnökökre, valamint a szállítók szakembereire, akik munkájuk végzése érdekében rendszergazdai jogosultságokat kapnak. Meg kell vizsgálni, hogy ezeket a hozzáféréseket idıben és a


95

Az informatikai biztonság irányításának vizsgálata személyek számát tekintve korlátozza-e a szervezet. Megvizsgálandó továbbá, hogy a szervezet hoz-e további külön intézkedéseket is, például a tevékenységek közvetlen helyszíni ellenırzését vagy az adott rendszertıl független naplózási lehetıséget. Értékelés: •


•


2.8.2.3. A felhasználói jelszavak kezelése Vizsgálat tárgya: A felhasználói jelszavak kezelése A vizsgált intézkedés célja: Formális jelszógondozási folyamatot kell alkalmazni. Vizsgálati szempontok: 1) A vizsgálónak a vizsgálat megkezdése elıtt meg kell vizsgálnia a szervezet biztonsági besorolását. 2) A vizsgáló által vizsgálandó részletes, az adott védelmi szintnek megfelelı biztonsági szempontokat az IBIK 9.2.3 fejezete meghatározza. Értékelés: •


•


2.8.2.4. A felhasználó hozzáférési jogosultságainak ellenırzése Vizsgálat tárgya: A felhasználó hozzáférési jogosultságainak ellenırzése A vizsgált intézkedés célja: Az informatikai rendszerekben biztosítani kell, hogy a felhasználók tényleges hozzáférési jogosultsága a szerepkörüknek megfelelı legyen. Vizsgálati szempontok:

96


Az informatikai biztonság irányításának vizsgálata 1) A jogosultságokat rendszeres idıközönként ellenırzik-e a szervezetnél. (Az általános felhasználók esetében ezt évente, míg a kiemelt jogosultsággal rendelkezı felhasználók esetében legalább 3 havonta kell megtenni.) 2) Meg kell vizsgálni, hogy rendszeresen ellenırizik-e, hogy privilegizált jogokkal csak egyedileg azonosítható felhasználók, csoportok és eszközök rendelkezhessenek. 3) A vizsgálónak meg gyızıdnie arról, hogy a szerepkörök változásakor a hozzáférési jogosultságokat felülvizsgálják és az új szerepkörnek megfelelıen módosítják-e. 4) Meg kell vizsgálni még azt is, hogy ki van-e alakítva a hozzáférési rendszer felülvizsgálatának felelısségi és jelentési rendszere. Értékelés: •


•


2.8.3. A felhasználó feladatai, felelısségei 2.8.3.1. Jelszó használat Vizsgálat tárgya: Jelszó használat A vizsgált intézkedés célja: A felhasználóktól meg kell követelni, hogy a jelszavak kiválasztásában és használatában megfelelı biztonsági gyakorlatot kövessenek. Vizsgálati szempontok: 1) Meg kell vizsgálni, hogy a felhasználók csak pozitív azonosítását követıen kapják-e meg ideiglenes jelszavaikat, melyeket meg kell változtatniuk, majd saját jelszavukat titokban kell tartaniuk. 2) Ennek gyakorlatát, a felhasználók tudatosságát ellenırizni kell. Továbbá át kell tekinteni a jelszavak tárolását, megváltoztatásuk kikényszerített gyakoriságát és a jelszavak hosszban és összetettségben kifejezhetı relatív erısségét - a szervezet biztonsági követelményeihez mérten. Értékelés:


97



•


2.8.3.2. Felügyelet nélküli berendezések Vizsgálat tárgya: Felügyelet nélküli berendezések A vizsgált intézkedés célja: A felhasználóknak elı kell írni, hogy maguk gondoskodjanak arról, hogy a felügyelet nélküli berendezések kellı védelemmel rendelkezzenek. Vizsgálati szempontok: 1) A vizsgálónak meg kell gyızıdnie arról, hogy az informatikai biztonságpolitika egyértelmően elıírja a felhasználók számára a felügyelet nélkül hagyott berendezések zárolását. A felhasználókkal való beszélgetés során megállapítható, hogy megkapták-e az ilyen berendezések kezeléséhez szükséges biztonsági oktatást. 2) Ellenırizni kell a felügyelet nélküli berendezések beállítására vonatkozó következı biztonsági szempontok megvalósítását: 1. Az informatikai rendszerekhez csak olyan kihelyezett terminál funkció használata engedélyezhetı, melynek mőködése az informatikai rendszerbıl menedzselhetı. 2. Azokban a rendszerekben, ahol lehetıség van rá, biztosítani kell a hosszabb ideig inaktív munkaállomások rendszer által kényszerített kijelentkezését, vagy a berendezés blokkolását (lock), például a PC-s munkaállomásoknál alkalmazni kell a jelszóval kombinált képernyıvédı funkciót. 3. A PC-s terminál használata esetén a PC használatát a nem azonosított és hitelesített felhasználók számára tiltani kell. Értékelés: •


•


98


Az informatikai biztonság irányításának vizsgálata 2.8.4. A hálózati szintő hozzáférések menedzsmentje A hálózatba szervezett szolgáltatások védelme érdekében a rendszerszintő biztonsági szabályzatok keretében szabályozni és ellenırizni kell a belsı és külsı hálózatba szervezett szolgáltatások elérését annak érdekében, hogy a hozzáférési jogosultsággal rendelkezı felhasználók ne veszélyeztethessék a hálózatba szervezett szolgáltatások biztonságát. 2.8.4.1. A hálózati szolgáltatások használatának irányelvei Vizsgálat tárgya: A hálózati szolgáltatások használatának irányelvei A vizsgált intézkedés célja: A felhasználóknak csak azokhoz a szolgáltatásokhoz legyen közvetlen hozzáférésük, amelyekre kimondottan használati jogot kaptak. Vizsgálati szempontok: Meg kell vizsgálni, hogy: 1) a szervezet meghatározta-e az engedélyezett hálózatok, valamint az engedélyezett hálózati szolgáltatások elérési kritériumait; 2) az engedélyezési eljárás során a szervezet meghatározta-e az engedélyezett hálózatokat és hálózati szolgáltatásokat, valamint azokat a személyeket, eszközöket, alkalmazásokat, melyek

valamiképpen

kapcsolatba

kerülnek

a

hálózatokkal

és

a

hálózati

szolgáltatásokkal; 3) a szervezetnél kialakításra kerültek-e menedzselési és ellenırzési eljárások. 4) Ezen pontoknak összhangban kell lenniük a már eddig megfogalmazott, azonosításra, hitelesítésre, hozzáférés-szabályozásra, bizalmasság-megırzésre és az ellenırzésre vonatkozó szabályokkal. Értékelés: •


•



99

Az informatikai biztonság irányításának vizsgálata 2.8.4.1.1. Kötelezı hozzáférési útvonal Vizsgálat tárgya: Kötelezı hozzáférési útvonal A vizsgált intézkedés célja: A kötelezı hozzáférési útvonal egy kikényszerített utat, tevékenységi sorrendet jelent, melyet a felhasználónak be kell tartania ahhoz, hogy elérhesse a kívánt erıforrást. A kötelezıen elıírt útvonal célja, hogy a felhasználók ne választhassanak a felhasználói terminál és a felhasználó számára hozzáférhetı szolgáltatások közötti – az engedélyben rögzített – útvonalon kívül esı útvonalat, ezáltal lényegesen csökken a védett erıforráshoz való illetéktelen hozzáférések kockázata. Vizsgálati szempontok: 1) Ahol a szervezet rendelkezik kényszerpálya politikával, ott ellenırizni kell annak megvalósítását és megkerülhetetlenségét az IBIK 9.4.2 fejezetében meghatározott biztonsági szempontok alapján. Értékelés: •


•


2.8.4.2. Felhasználó azonosítás és hitelesítés távoli kapcsolatnál Vizsgálat tárgya: Felhasználó azonosítás és hitelesítés távoli kapcsolatnál A vizsgált intézkedés célja: Távoli felhasználók hozzáférését mindig hitelesítési folyamattal kell engedélyezni. Vizsgálati szempontok: 1) Ezeket az ellenırzési követelményeket minden olyan szervezetnek be kell tartania, amely külsı hozzáférést vagy távoli csatlakozást engedélyez rendszereihez. A vizsgálónak ellenıriznie kell, hogy valamennyi belépési pont azonosításra került, és teljes kockázatfelmérés történt. 2) Elsıként azt kell megvizsgálni, hogy a hitelesítés az alkalmazási rendszer vagy a hálózati operációs rendszer szintjén történik-e. Az elsı esetben kérdés, hogy milyen kiértékeléssel, teszteléssel bizonyították, hogy ezt nem lehet operációs rendszer szinten hatástalanítani? A hitelesítés módja összhangban áll-e az információk érzékenységével?

100


Az informatikai biztonság irányításának vizsgálata 3) A vezetésnek tisztában kell lennie a kockázatokkal és kellıen meg kell fontolnia az óvintézkedéseket, melyeket bevezetésük után rendszeresen felül kell vizsgálni. A vizsgálónak meg kell gyızıdnie arról, hogy ezek a felülvizsgálatok fix idıszakonként megtörténnek. 4) A vizsgálónak meg kell vizsgálnia a következı védelmi intézkedések megvalósítását: a) Az adott hálózati alrendszer hitelesítési mechanizmusa nem érintheti a hálózat többi alrendszerének hitelesítési rendszerét. b) A hálózati erıforrások használatát a felhasználók számára korlátozni kell. c) Megosztott erıforrások csak azonosítás után legyenek elérhetık. Munkaállomások megosztását (azok védelmének nehézsége miatt) kerülni kell. d) Biztosítani kell a fogadó oldalon a felhasználó azonosítás utáni visszahívásának (call back) lehetıségét. Ennek meghatározását a rendszerszintő IBSZ-nek kell megadnia. e) Csak a kellıen biztonságos környezettel, technikákkal biztosított helyeken lehet a távoli elérést biztosítani. f) Távoli elérésre külön kezelt felhasználói csoportot kell kialakítani. Értékelés: •


•


2.8.4.3. Hálózati eszközök, munkaállomások azonosítása és hitelesítése Vizsgálat tárgya: Távoli munkaállomás azonosítása, hitelesítése A vizsgált intézkedés célja: A távoli rendszerek azonosítására ott van szükség, ahol az alkalmazott hitelesítést támogatni kell a rendszer (és helyzetének, csatlakozási pontjának) azonosításával. Egy távoli számítógéphez való automatikus csatlakozás lehetısége egy üzleti alkalmazáshoz való illetéktelen hozzáférést tehet lehetıvé, ezért a számítástechnikai rendszerekhez távolról való összes csatlakozást hitelesíteni kell. Ez különösen fontos akkor, ha a csatlakozás egy olyan hálózatot használ, amely kívül esik a szervezet biztonsági rendszerének ellenırzésén.


101

Az informatikai biztonság irányításának vizsgálata Vizsgálati szempontok: 1) A vizsgálónak meg kell vizsgálnia, hogy a szervezet technikailag biztosítja-e, hogy csak a központilag nyilvántartott munkaállomásokról lehessen a rendszerekbe belépni. 2) Egységes

munkaállomás-névhasználat

van-e

kialakítva,

a

hálózatban

lévı

munkaállomások pontos azonosítása érdekében. Értékelés: •


•


2.8.4.4. A távdiagnosztikai portok védelme Vizsgálat tárgya: A távdiagnosztikai portok védelme A vizsgált intézkedés célja: Számos számítógép és kommunikációs rendszer rendelkezik távoli diagnosztikai eszközzel, amelyet a karbantartásért felelıs mőszaki szakemberek használhatnak. Kellı védelem hiányában ezek a diagnosztikai illesztıegységek az illetéktelen

hozzáférés

eszközeiként

használhatók.

Ezért

megfelelı

biztonsági

mechanizmussal gondoskodni kell arról, hogy ezekhez csak a jogosult vezetı és a hozzáférésre jogosult hardver/szoftver kiszolgáló szervezet közötti megállapodás alapján lehessen hozzáférni. Vizsgálati szempontok: 1) Meg kell vizsgálni, hogy van-e használatban a szervezetnél olyan eljárás mely világosan megjelöli a távdiagnosztikai portokon keresztüli tevékenységek végzéséhez szükséges engedélyeket és jogosultságokat, illetve azok dokumentálásáról is gondoskodik. A legtöbb esetben a technikai védelem kialakítását is ellenırizni kell. 2) Ellenırizni kell, hogy a távdiagnosztikai szolgáltatással rendelkezı eszközök esetén a menedzselést csak azonosító és jelszó együttes használatával lehet-e elérni. 3) Ahol távdiagnosztikai szolgáltatás nem kerülhet alkalmazásra, ott a lehetıség letiltását kell ellenırizni. Értékelés:

102




•


2.8.4.5. A hálózatok biztonsági szegmentálása Vizsgálat tárgya: A hálózatok biztonsági szegmentálása A vizsgált intézkedés célja: A hálózati informatikai szolgáltatások különféle csoportjait, a felhasználói és az informatikai rendszereket biztonságosan el kell határolni egymástól. Vizsgálati szempontok: 1) A vizsgálónak meg kell vizsgálnia, hogy a hálózatok elkülönítésének kritériumai a hozzáférés ellenırzésére vonatkozó irányelvek és a hozzáférési igények alapján kerülteke kialakításra; illetve ennek során figyelembe kell vették-e a megfelelı hálózati útvonalés belépési pont kiválasztási technológia tényleges és fajlagos költségeit és a teljesítményre gyakorolt hatását. Értékelés: •


•

Nem felel meg a követelménynek: Ha a vizsgálati szempontokpontban felsorolt valamennyi követelmény és eljárás közül egyik sincsen megvalósítva.

2.8.4.6. A hálózatra történı csatlakozások ellenırzése Vizsgálat tárgya: A hálózatra történı csatlakozások ellenırzése A vizsgált intézkedés célja: A hozzáférés-ellenırzési szabályzat szerinti korlátozni kell az osztott hálózatok felhasználóinak csatlakozási lehetıségét. Vizsgálati szempontok: 1) Ahol osztott hálózatok mőködnek, ott a hozzáférés ellenırzési politikának megfelelıen szükség lehet a felhasználók kapcsolódási lehetıségeinek korlátozására. A fizikailag biztonságos területeken kívül található felhasználók és szolgáltatások esetében a hozzáférés típusát, ellenırzésének módját és korlátait minden részletre kiterjedıen meg Magyar Informatikai Biztonság Irányítási Követelményrendszer

103

Az informatikai biztonság irányításának vizsgálata kell vizsgálni. 2) Korlátozó rendelkezéseket többek között az alábbi esetekben célszerő megvizsgálni: a) Elektronikus levelezés. b) Egyirányú adatállomány mozgatás (pl. mentési rendszerek esetében). c) Adatállomány mozgatása mindkét irányban. d) Meghatározott idıponthoz kötött hálózati hozzáférés. Értékelés: •


•


2.8.4.7. A hálózati útvonal kiválasztások ellenırzése Vizsgálat tárgya: A hálózati útvonal kiválasztások ellenırzése A vizsgált intézkedés célja: Az osztott hálózatok olyan forgalomirányítási rendszerrel kell, hogy rendelkezzenek, amely szavatolja, hogy az összeköttetések és az információfolyamok nem sértik az üzleti alkalmazások hozzáférés-ellenırzési szabályait. Vizsgálati szempontok: Meg kell vizsgálni, hogy: 1) a rendszerdokumentációban pontosan definiálták-e az elérni kívánt eszközök címét, portszámát és egyéb, a biztonsági szőréshez szükséges adatait; 2) az útvonalak kialakításának van-e meghatározott felelısségi köre; 3) a beállítások minden esetben teszteltek és jegyzıkönyv formában dokumentáltak-e. Értékelés: •


•


104


Az informatikai biztonság irányításának vizsgálata 2.8.5. Az operációs rendszer szintő hozzáférések ellenırzése 2.8.5.1. Biztonságos hitelesítési, bejelentkezési eljárások

Vizsgálat tárgya: Az operációs rendszer szintő hozzáférések ellenırzése A

vizsgált

intézkedés

célja:

Az

informatikai

eszközök

illetéktelen

elérésének

megakadályozása érdekében az operációs rendszer szintjén rendelkezésre álló biztonsági lehetıségeket is fel kell használni a számítástechnikai erıforrásokhoz való hozzáférés korlátozásához. Vizsgálati szempontok: A vizsgálónak meg kell gyızıdnie arról, hogy az operációs rendszer szintő hozzáférések ellenırzése lehetıvé teszi-e a következıket: 1) Az engedéllyel rendelkezı felhasználó személyének azonosítása és hitelesítése, szükség esetén a terminál vagy hely azonosítása. 2) A sikeres és az eredménytelen hozzáférési kísérletek rögzítése. 3) Megfelelı hitelesítési eszközök és – jelszókezelı rendszer használata esetén – minıségi jelszavak biztosítása. 4) Adott esetben a felhasználók csatlakozási idejének korlátozása. 5) Amennyiben az üzleti kockázatok alapján ez indokolt, más hozzáférést vezérlı módszerek (pl. ujjlenyomat, chipkártya, kérdés-felelet) is alkalmazhatók. Értékelés: •


•


2.8.5.1.1. Munkaállomások automatikus azonosítása, hitelesítése Vizsgálat tárgya: Terminálok automatikus azonosítása, hitelesítése A vizsgált intézkedés célja: Automatikus terminálazonosításra van szükség abban az esetben, mikor meghatározott helyre vagy hordozható készülékre irányuló összeköttetéseket


105

Az informatikai biztonság irányításának vizsgálata kell hitelesíteni Vizsgálati szempontok: 1) Fontos kideríteni, hogy miként mőködik a hitelesítés ellenırzése, és mi történik akkor, ha pl. meghibásodik a terminál. 2) A terminál azonosításán túl a felhasználók azonosítására is szükség van. A bejelentkezési eljárással kapcsolatban az IBIK 9.5.1 szakasza hasznos példákat mutat be. Ezek megvalósulását a gyakorlatban is ellenırizni kell. Értékelés: •


•


2.8.5.1.2. Biztonságos bejelentkezési eljárások Vizsgálat tárgya: Terminál bejelentkezési eljárások A vizsgált intézkedés célja: Biztonságos bejelentkezési (log-in v. log-on) folyamatot kell alkalmazni az informatikai szolgáltatásokhoz való hozzáféréshez. Vizsgálati szempontok: Meg kell vizsgálni, hogy: 1) A bejelentkezési eljárás során csak a bejelentkezés eredményes befejezése után jelenhete csak meg a használni kívánt rendszerre vonatkozó adat, azonosító, stb. 2) A bejelentkezés elfogadására vagy elvetésére csupán az összes szükséges adat megadása után kerülhet sor; sikertelenség esetén nem jelölheti meg a hibás, elrontott azonosítót, jelszót. 3) A rendszer korlátozza-e az eredménytelen bejelentkezési kísérletek számát, rögzíti-e az eredménytelen kísérleteket, idıtúllépés esetén megszünteti-e az adatátviteli kapcsolatot. Értékelés: •


•


106



2.8.5.2. A felhasználó azonosítása, hitelesítése Vizsgálat tárgya: A felhasználó azonosítása, hitelesítése A vizsgált intézkedés célja: Minden felhasználót kizárólagos személyi használatukra szóló egyedi felhasználói azonosítóval kell ellátni azért, hogy minden tevékenységük nyomon követhetı legyen. Vizsgálati szempontok: A vizsgálónak meg kell vizsgálnia a következı biztonsági intézkedések megvalósulását: 1) Az azonosítás és hitelesítés keretében a hozzáférési jogosultságot legalább jelszavakkal ellenırizni kell. A jelszómenedzselést úgy kell biztosítani, hogy a jelszó ne juthasson illetéktelenek tudomására, ne legyen megkerülhetı, illetve könnyen megfejthetı. 2) A felhasználók azonosítása egyedi, jellemzı, ellenırizhetı és hitelesítésre alkalmas kell, hogy legyen. 3) A munkakör megváltozásakor a felhasználók hozzáférési jogosultságait felül kell vizsgálni, és ennek alapján módosítani kell. 4) Biztosítani kell a felhasználói azonosítók idıszakos felfüggesztésének vagy végleges letiltásának lehetıségét. 5) A rendszer hozzáférés szempontjából meghatározó jelentıségő erıforrásaihoz (pl. fájlok, tároló területek, berendezések, stb.) olyan egyedi azonosítókat kell rendelni, amelyek a hozzáférési jogosultság meghatározásának alapjául szolgálnak. 6) A hitelesítés megvalósítási módja és a biztonsági követelmények összhangja ez esetben is ellenırzendı. A kockázatfelmérési folyamat ad támpontot a pontos hitelesítési követelmények meghatározásához. Értékelés: •

Megfelel a követelménynek: Ha a vizsgálati szempontokpontban felsorolt valamennyi biztonsági követelmény, eljárás definiált és maradéktalanul megvan.

•



107


2.8.5.3. Jelszómenedzsment rendszer Vizsgálat tárgya: Jelszómenedzsment rendszer A vizsgált intézkedés célja: A jelszógondozó rendszernek hatékonynak, interaktívnak, minıségi jelszavakat garantáló eszköznek kell lennie. Vizsgálati szempontok: 1) A vizsgálónak meg kell állapítani a szervezet biztonsági besorolását, és az ellenıriznie kell az IBIK 9.5.4 pontja alatt felsorolt a szervezet biztonsági szintjének megfelelı védelmi intézkedések megvalósítását. 2) Védelmi szinttıl függetlenül a legfontosabb, a biztonságpolitikával összhangban megvizsgálandó szempontok a következık: a) a jelszavak hossza és megkívánt felépítése, b) a jelszócserék gyakorisága, c) közös jelszavak használata (személyek és rendszerek esetén is), d) a jelszavak biztonságos kezelése és tárolása, e) az alapértelmezett jelszavak megváltoztatása. Értékelés: •

Megfelel a követelménynek: Ha a vizsgálati szempontok felsorolt valamennyi biztonsági követelmény, eljárás definiált és maradéktalanul megvan.

•


2.8.5.4. Rendszer segédprogramok használata Vizsgálat tárgya: A rendszer segédprogramok használata A vizsgált intézkedés célja: Egyes segédprogramok a rendszer olyan részeihez is hozzáférést nyújtanak, melyekhez az alkalmazások nem. A szervezetnek ezeket ismerni és használatukat szükség szerint szabályoznia, korlátoznia kell. Vizsgálati szempontok:

108


Az informatikai biztonság irányításának vizsgálata 1) Ellenırizni kell az egyes rendszereket, hogy nincsenek telepítve további, vagy megváltoztatott segédprogramok. 2) Amennyiben ilyen rendszerelemek, segédprogramok használatára szükség van, akkor annak jogosultsági, felhasználói körét és szabályozását ellenırizni kell. Értékelés: •


•


2.8.5.5. Kapcsolati idıtúllépés Vizsgálat tárgya: A terminál idıkorlát A vizsgált intézkedés célja: A nagy kockázatú helyeken, vagy nagy kockázattal járó rendszereket kiszolgáló inaktív terminált ki kell kapcsolni, ha meghatározott ideje nincs használatban, hogy illetéktelen személyek hozzáférését megakadályozzuk. Vizsgálati szempontok: 2) A vizsgálónak a rendszert fenyegetı kockázatoknak megfelelı idıkorlátját és mőködıképességét kell ellenırizni: a) Ennek a funkciónak a rendszerszintő IBSZ-ben elıírt inaktív idıkorlát elteltével automatikus mentést kell végrehajtania; b) le kell törölnie a képernyıt, be kell zárnia a futó alkalmazásokat; c) meg kell szüntetnie a hálózati kapcsolatokat. 3) Az idıkorlátnak valamint a zárolás szintjének meg kell felelnie a rendszer biztonsági osztályának. Értékelés: •


•



109


2.8.5.6. Kapcsolati idıkorlátozás Vizsgálat tárgya: Kapcsolati idıkorlátozás A vizsgált intézkedés célja: Biztonsági szempontból kiemelten fontos helyeken a kapcsolatok idejére idıkorlátokat kell bevezetni (pl. internetes szolgáltatások), ami az illetéktelen hozzáférés lehetıségeit és kockázatát csökkenti. Vizsgálati szempontok: 1) Meg kell vizsgálni az adott szolgáltatás idıkorlátjának a szervezet biztonsági szabályzatának való megfelelıségét, és megvalósítását. Értékelés: •


•

Nem felel meg a követelménynek: Ha a vizsgálati szempontok pontban felsorolt valamennyi követelmény és eljárás közül egyik sincsen megvalósítva. 2.8.5.7. Támadás-riasztás

Vizsgálat tárgya: Támadás-riasztás A vizsgált intézkedés célja: Kényszer-riasztási lehetıséggel kell ellátni azokat a felhasználókat, akik valamely kényszerítési fenyegetettségnek vannak kitéve. Vizsgálati szempontok: 1) Ahol a szervezet döntött ilyen riasztási lehetıség kiépítésérıl, ott meg kell gyızıdni arról, hogy az valóban megfelel a követelményeknek, például: a) ott van-e minden szükséges ponton, b) kiváltja-e a riasztást, c) hatástalanítható-e. d) Az ilyen riasztórendszereknek nem szabad a riasztást végzı személy biztonságát fenyegetniük (csendes riasztás). Értékelés: •

Megfelel a követelménynek: Ha a vizsgálati szempontok pontban felsorolt valamennyi

110


Az informatikai biztonság irányításának vizsgálata biztonsági követelmény, eljárás definiált és maradéktalanul megvan. •


2.8.6. Alkalmazás szintő hozzáférések vezérlése Vizsgálat tárgya: Alkalmazás szintő hozzáférések vezérlése A vizsgált intézkedés célja: Megakadályozni az illetéktelen hozzáférést az informatikai rendszerekben tárolt információhoz. Vizsgálati szempontok: A felhasználói rendszerek vonatkozásában a vizsgálónak a következı védelmi intézkedések megvalósítását kell megvizsgálnia: 1) A mindenkori hatályos üzleti hozzáférési irányelveknek megfelelıen ellenırizni kell az adatokhoz és a felhasználói rendszer funkcióihoz való felhasználói hozzáférést. 2) Védelmet kell nyújtani az illetéktelen hozzáféréssel szemben minden segédprogram és operációs rendszerprogram számára ott, ahol meg lehet kerülni a rendszer vagy az alkalmazás ellenırzı eszközeit. 3) Nem szabad befolyásolnia olyan más rendszerek biztonságát, amelyekkel az adott rendszer megosztva használ különbözı informatikai erıforrásokat. Értékelés: •

Megfelel a követelménynek: Ha a vizsgálat vizsgálati szempontok pontban felsorolt valamennyi biztonsági követelmény, eljárás definiált és maradéktalanul megvan.

•


2.8.6.1. Az adatelérés szabályozása Vizsgálat tárgya: Az adatelérés szabályozása A vizsgált intézkedés célja: Az elıre meghatározott hozzáférés-ellenırzési szabályzat szerint kell korlátozni a hozzáférést mind az informatikai funkciókhoz, mind az alkalmazási


111

Az informatikai biztonság irányításának vizsgálata rendszerek funkcióihoz. Vizsgálati szempontok: 1) A vizsgálónak meg kell állapítani a szervezet biztonsági besorolását, és az ellenıriznie kell az IBIK 9.6.1 pontja alatt felsorolt a szervezet biztonsági szintjének megfelelı védelmi intézkedések megvalósítását. 2) A vizsgálónak meg kell bizonyosodnia arról, hogy az egyes alkalmazások által biztosított hozzáférések megfelelnek az üzleti követelményeknek és a hozzáférés ellenırzési politikának (lásd az IBIK 2.7.1 pontot is). Például ha különbözı alkalmazások érik el ugyanazt az adatbázist, el lehet-e érni egyikbıl azt az érzékeny információt, amit a másikból nem? 3) Külön figyelmet kell fordítani az alkalmazások ritkán használt, esetleg dokumentálatlan funkcióira, például a karbantartást támogató segédprogramokra. Értékelés: •


•


2.8.6.2. Érzékeny adatokat kezelı rendszer elkülönítése Vizsgálat tárgya: Érzékeny adatokat kezelı rendszer elkülönítése A vizsgált intézkedés célja: Az érzékeny rendszerek szükségessé tehetik, hogy számukra e célra rendelt (elszigetelt) számítástechnikai környezetet teremtsünk. Vizsgálati szempontok: 1) A vizsgálónak ellenıriznie kell, hogy az elválasztott rendszer felügyelete, a rendelkezésre állása a többi rendszertıl függetlenül biztosítva van-e. Értékelés: •


•


112


Az informatikai biztonság irányításának vizsgálata 2.8.7. Mobil informatikai tevékenység, távmunka Vizsgálat tárgya: Mobil informatikai tevékenység, távmunka A vizsgált intézkedés célja: Az informatikai biztonság megteremtése a mobil számítástechnikai eszközök használata és távmunka esetén. Vizsgálati szempontok: 1) A vizsgálónak meg kell gyızıdnie arról, hogy a szükséges védelem összhangban van-e ennek a speciális munkavégzésnek a kockázataival. Mobil számítástechnikai eszközök használata során mérlegelni kell egyrészt a nem védett környezetben való munkavégzés kockázatait, másrészt a védekezés szükséges módját és eszközeit. 2) A mobil számítástechnikai eszközökön gondoskodnak-e a rejtjelzett adattárolásról és adatátvitelrıl. 3) Távmunka (távoli hozzáférés) esetén a szervezet érintett szervezeti egységei gondoskodnak-e a biztonságos adatkapcsolat létrehozásáról, a kapcsolatot tartó hely védelmérıl. 4) A mobil informatikai tevékenység és a távmunka szabályozását a Biztonsági Vezetı jóvá hagyta-e. Értékelés: •


•


2.8.7.1. Mobil informatikai tevékenység Vizsgálat tárgya: Mobil informatikai tevékenység A vizsgált intézkedés célja: Szabályzatot kell hatályba léptetni, és megfelelı intézkedéseket kell foganatosítani a mobil számítástechnikai eszközökkel végzett munkát veszélyeztetı fenyegetettségek ellen, különösen, ha azt védetlen környezetben végzik. Vizsgálati szempontok: 1) A vizsgálónak meg kell állapítani a szervezet biztonsági besorolását, és ellenıriznie kell az IBIK 9.8.1 pontja alatt felsorolt, a szervezet biztonsági szintjének megfelelı védelmi


113

Az informatikai biztonság irányításának vizsgálata intézkedések megvalósítását. Értékelés: •


•


2.8.7.2. A távmunka Vizsgálat tárgya: A távmunkát végzı személy kapcsolata a munkahellyel A vizsgált intézkedés célja: A távmunkavégzési tevékenységek ellenırzésére és végzésükhöz

szükséges

felhatalmazás

megadásához

szabályzatokat,

eljárásokat

és

szabványokat kell kidolgozni. Vizsgálati szempontok: 1) A vizsgálónak a következı védelmi intézkedések megvalósítását kell megvizsgálnia: a) Távmunka jellegő tevékenységeket csak abban az esetben szabad engedélyezni, ha rendelkezésre állnak a megfelelı biztonsági feltételek. b) Az otthoni munkaeszköznek is szerepelnie kell az eszközleltárban. Az ilyen alkalommal elérhetı információk körét szabályozni szükséges. c) Távmunka esetén is gondoskodni kell a biztonsági követelmények és elıírások betartásáról, a megfelelı és rendszeres ellenırzésrıl. d) A távmunkát végzı csak a kijelölt csatlakozási pontokon keresztül csatlakozhat a szervezet hálózatába. Az Informatikai Vezetı és az Informatikai Biztonsági Vezetı közösen határozzák meg ezeket a belépési pontokat. e) A távmunkát végzı gépeken munkavégzés közben bármilyen vezeték nélküli (wireless) kapcsolat kialakítása tiltott. f) A távmunkát végzı gépekkel munkavégzés közben egyéb célú csatlakozás alapértelmezésben tiltott. g) A számítógépeken a társasági és rendszerszintő IBSZ által meghatározott vírusvédelmi és biztonsági eszközöknek telepítve kell lenniük, és ezeket kötelezı

114


Az informatikai biztonság irányításának vizsgálata használni. Értékelés: •


•



115


2.9. Az informatikai rendszerek fejlesztése és karbantartása

2.9.1. Az informatikai rendszerek informatikai biztonsági követelményei Vizsgálat tárgya: Az informatikai rendszerek informatikai biztonsági követelményei A vizsgált intézkedés célja: Gondoskodni arról, hogy a biztonságot beépítsük informatikai rendszereinkbe. Vizsgálati szempontok: 1) A vizsgálónak meg kell gyızıdnie arról, hogy az informatikai rendszerek integrált biztonságának kialakítása a biztonságpolitika által meghatározott szempontok szerint történik-e. Értékelés: •

Megfelel a követelménynek: Ha a vizsgálat tárgya pontban felsorolt valamennyi biztonsági követelmény, eljárás definiált és maradéktalanul megvan.

•

Nem felel meg a követelménynek: Ha a vizsgálati módszerek pontban felsorolt valamennyi követelmény és eljárás közül egyik sincsen megvalósítva.

2.9.1.1. A biztonsági követelmények elemzése és meghatározása Vizsgálat tárgya: A biztonsági követelmények elemzése és meghatározása A vizsgált intézkedés célja: Az új rendszerekre vagy a meglévı rendszerek bıvítéseire vonatkozó üzleti követelményekkel kapcsolatban a biztonsági követelményeket is meg kell határozni. Vizsgálati szempontok: 1) A vizsgálónak meg kell ismernie a szervezet üzleti követelményeit, és ellenıriznie kell az IBIK 10.1.1 pontja alatt felsorolt megfelelı védelmi intézkedések megvalósítását. 2) A szervezeteknek bizonyítaniuk kell, hogy a biztonsági követelményeket azonosították, és figyelembe vették az alkalmazások fejlesztésekor, új rendszerek beszerzésekor vagy frissítések alkalmával. Értékelés: •


116




2.9.2. Biztonság az alkalmazói rendszerekben Az ellenırzés célja: Megvédeni az alkalmazási rendszerben meglévı adatokat az elvesztéstıl, a jogosulatlan módosítástól és a visszaéléstıl. 2.10.2.1. A bemenı adatok hitelesítése Vizsgálat tárgya: A bemenı adatok hitelesítése A vizsgált intézkedés célja: Az alkalmazási rendszerekbe beadott adatbemenetet érvényesíteni kell, hogy gondoskodjunk annak pontosságáról és helyességérıl. Vizsgálati szempontok: A vizsgálónak meg kell gyızıdnie a bemenı adatok ellenırzésének biztosításáról: 1) Az ismételt adatbevitel és az ebbıl származó adatkarbantartási anomáliák elkerülésére írt eljárások. 2) Idıszakos adatmezı és -állomány vizsgálat, valamint a felvitt adatok hitelességének és integritásának ellenırzése és igazolása. 3) Az adatbevitel alapját képezı nyomtatott input dokumentumok ellenırzése, illetve ezek engedély

nélküli

módosításának

megakadályozása,

valamint

az

engedélyezés

kikényszerítésére szóló eljárások. 4) Adathitelesítési hibák kiküszöbölését elısegítı eljárások. 5) Adatbevitel során, a mezıtípus kompatibilitást biztosító, illetve adattartalom helyességét ellenırzı és kikényszerítı eljárások és függvények. 6) Az alkalmazáshoz történı hozzáférés naplózása. 7) A feldolgozásban résztvevı munkatársak feladatkörének és felelısségének rögzítése a munkaköri leírásokban. 8) Az alkalmazásnak biztosítania kell az adatok sértetlenségi ellenırzésének megfelelı szintjét a bevitel és a feldolgozás során is. Ahol kézi adatbevitel van, ott a vizsgáló Magyar Informatikai Biztonság Irányítási Követelményrendszer

117

Az informatikai biztonság irányításának vizsgálata ellenırzi a nyilvánvalóan helytelen vagy hiányos értékek bevitelekor a rendszer viselkedését. Ha bevitel más formában valósul meg, akkor is ellenırzendı, hogy azok egyértelmően

azonosítottak

és

nem

lehet

velük

manipulálni.

A

rendszer

dokumentációinak kielégítı részletességgel kell tárgyalniuk ezeket a kérdéseket. Értékelés: •


•


2.9.2.2. Az adatfeldolgozás ellenırzése Vizsgálat tárgya: Az adatfeldolgozás ellenırzése A vizsgált intézkedés célja: Az adatfeldolgozás során, a hibás adatok felismerése érdekében érvényesítı ellenırzéseket kell a rendszerekbe beépíteni. Vizsgálati szempontok: A vizsgálónak meg kell vizsgálnia az összes megvalósított eljárást amivel a pontosan és hiánytalanul bevitt adatok biztonságát, integritását a feldolgozás ideje alatt is szavatolni lehet: 1) Az adatfeldolgozás rendszerébe ellenırzési, hitelesítési pontokat kell beépíteni, különös tekintettel az adatmódosító- és törlı funkciók helyére. 2) Adatfeldolgozási hibák esetén: hibadetektáló és a további rendszerfutást leállító eljárások beépítése a rendszerbe. 3) Korrekciós programok alkalmazása a feldolgozás során felmerülı hibák korrigálására. 4) A folyamatba épített ellenırzés elvégzéséért az Informatikai Vezetı a felelıs. Értékelés: •


•


118


Az informatikai biztonság irányításának vizsgálata 2.9.2.2.1. Veszélyeztetett területek Vizsgálat tárgya: Veszélyeztetett területek kezelésének ellenırzése A vizsgált intézkedés célja: A helyesen bevitt adatok is megváltozhatnak akár a feldolgozás hibái,

akár

szándékos

tevékenységek

következtében.

A

rendszerekbe

az

ilyen

meghibásodások felismerése érdekében ajánlatos érvényesítı ellenırzéseket (validation check) beépíteni. Az alkalmazások tervezésével ajánlatos gondoskodni arról, hogy a korlátozások megvalósítása valóban minimalizálja a sértetlenség elvesztésére vezetı feldolgozási hibák kockázatát. Vizsgálati szempontok: A vizsgálónak meg kell gyızıdnie arról, hogy a megfontolandó sajátos területek magukban foglalják: 1) az adatváltoztatást megvalósító funkciók helyét és használatát

a végrehajtó

programokban, 2) azokat az eljárásokat, amelyek megakadályozzák, hogy a programok rossz sorrendben, vagy korábbi feldolgozásban elıállt meghibásodás után lefussanak, 3) a helyes programok használatát a meghibásodás utáni visszatérésre annak érdekében, hogy az adatokat helyesen/pontosan dolgozzuk fel. Értékelés: •


•


2.9.2.2.2. Vezérlı és ellenırzı eljárások Vizsgálat tárgya: Irányító- és ellenırzı eljárások A vizsgált intézkedés célja: Ellenırzési eljárások szervezési és tartalmi áttekintése Vizsgálati szempontok: 1) A vizsgálónak meg kell ismernie a szervezet üzleti követelményeit, és az ellenıriznie kell az IBIK 10.2.2.2 pontja alatt felsorolt megfelelı védelmi intézkedések megvalósítását.


119



•


2.9.2.3. Az üzenetek hitelesítése Vizsgálat tárgya: Az üzenetek hitelesítése A vizsgált intézkedés célja: Üzenethitelesítés az a technika, amelyet arra használunk, hogy észleljük a továbbított elektronikus üzenet tartalmában beállt bármely illetéktelen beavatkozást, változtatást vagy rongálást. Üzenethitelesítést kell használni az olyan alkalmazásokhoz, amelyekben biztonsági követelmény az üzenettartalom sértetlenségének a védelme. Vizsgálati szempontok: A vizsgálónak a következı elvárások megvalósítását kell megvizsgálnia az üzenethitelesítés, valamint az elektronikus aláírás kialakítása kapcsán: 1) A hitelesítés legáltalánosabb módja, a jelszó megadása. Kezelésére, a jelszókezelésre vonatkozó fejezetben részletezett általános szabályokat kell alkalmazni. 2) A hitelesítést a felhasználó és a rendszer között egy, a felhasználó által megnyitott, védett csatornán keresztül kell biztosítani. 3) PKI alkalmazásakor az alkalmazásért felelıs vezetı alakítson ki tanúsítványpolitikát (Certificate Policy, CP) melyet az Informatikai biztonsági vezetıvel egyeztessen. A tanúsítványpolitika alkalmazása kötelezı. Értékelés: •


•


120


Az informatikai biztonság irányításának vizsgálata 2.9.2.4. A kimenı adatok hitelesítése Vizsgálat tárgya: A kimenı adatok hitelesítése A vizsgált intézkedés célja: Valamely alkalmazási rendszer kimeneti adatait érvényesíteni (validálni) kell, hogy gondoskodjunk arról, hogy a tárolt adatok feldolgozása helyes (korrekt) és a körülményeknek megfelelı. Vizsgálati szempontok: A kimenı adatok biztonsága érdekében a vizsgálónak a következı védelmi eljárások meglétét ellenıriznie: 1) Integritásellenırzés. 2) Adattartalom meglétének, értékének (osztályba sorolásának)ellenırzése. 3) A megfelelı minısítés meglétének ellenırzése. 4) A kimenı adatok értékelésében és hitelesítésében résztvevı munkatársak feladatainak és felelısségének meghatározása. Értékelés: •


•

Nem felel meg a követelménynek: Ha a vizsgálati szempontok pontban felsorolt valamennyi követelmény és eljárás közül egyik sincsen megvalósítva. 2.9.3. Kriptográfiai eszközök Az ellenırzés célja: Megvédeni az információ bizalmasságát/titkosságát, hitelességét és sértetlenségét. 2.9.3.1. A kriptográfiai eszközök alkalmazásának irányelvei

Vizsgálat tárgya: A kriptográfiai eszközök alkalmazásának irányelvei A vizsgált intézkedés célja: Az információk védelmére ki kell dolgozni a kriptográfiai védelmi intézkedések alkalmazásának szabályzatát. A kriptográfiai szabályok biztonságos és hatékony használatának fontos szempontja az alkalmas megoldás kiválasztása és a szabályok mindennapos alkalmazásának helyes támogatási politikája. E politikának le kell fednie az alkalmazott kulcskezelési megoldást (lásd az IBIK 10.3.5 pontját és az alábbiakat), a kriptográfiai szabályokkal kapcsolatos szerepeket és felelısségeket és azokat az


121

Az informatikai biztonság irányításának vizsgálata információkat és körülményeket, amelyeket, a kriptográfiai szabályokat alkalmazni kell. Vizsgálati szempontok: 1) Ha a szervezet kriptográfiai eljárásokat alkalmaz, akkor a vizsgálók ellenırizzék, hogy a használatukra

vonatkozó

politika

legyen

megtervezve,

kommunikálva

és

az

alkalmazottak ismerjék és kövessék is azt. 2) Vizsgálják meg, hogy a hozott döntések támogatják-e a kockázatkezelést és azt, hogy az alkalmazott szabályok beleillenek-e a kockázati politikába. 3) A kriptográfiai eljárások relatív erıssége változó, függ az alkalmazott algoritmustól és a paraméterként használt kulcs méretétıl. Tényezıként kell figyelembe venni azt a környezet és alkalmazást, amelyben a kriptográfiai szabályok felhasználásra kerülnek. Bizonyos alkalmazási környezetek erısebb kriptográfiai szabályokat kívánhatnak meg. Ezért a vizsgálók rendelkezzenek a kriptográfiai szabályok és technikák, a kulcskezelés és

annak

alkalmazása

legalább

általános

szintő

ismeretével

ahhoz,

hogy

megállapíthassák, hogy a szervezet adekvát vagy helyénvaló módon alkalmazza azokat. Értékelés: •


•


2.9.3.1.1. Rejtjelzés Vizsgálat tárgya: Rejtjelzés A vizsgált intézkedés célja: Az érzékeny és kritikus információ bizalmasságának védelme érdekében rejtjelzést kell alkalmazni. Vizsgálati szempontok: 1) A vizsgálónak meg kell ismernie a szervezet üzleti követelményeit, és az ellenıriznie kell az IBIK 10.3.2 pontja alatt felsorolt megfelelı védelmi intézkedések megvalósítását. Értékelés: •


122




2.9.3.1.2. Elektronikus aláírás Vizsgálat tárgya: Elektronikus aláírás A vizsgált intézkedés célja: Elektronikus aláírást kell alkalmazni, hogy megvédjük az elektronikus információ hitelességét és sértetlenségét. Vizsgálati szempontok: A vizsgálók ellenırizzék, hogy milyen feltételek mellett végzik a titkosítást, a elektronikus aláírásokat és/vagy letagadhatatlansági szolgáltatásokat, és ezek összhangban vannak-e az irányelvekkel, az azonosított biztonsági és üzleti követelményekkel. Ezen kívül meg kell vizsgálni: 1) az a célból elvégzett kockázat minısítést, hogy alkalmazzanak-e titkosítást, digitális aláírásokat és/vagy letagadhatatlansági szolgáltatást, és meghatározzák az egzakt védelmi követelményeket, 2) az azonosított biztonsági és üzleti követelményekhez illeszkedı alkalmas algoritmusok és megfelelı kulcs hosszúság lettek-e kiválasztva, és mi az eredménye a kockázat minısítésnek, 3) azonosításra került-e minden létezı jogszabály, ide értve az export és import szabályokat és a kriptográfiai módszerek alkalmazásával kapcsolatos eljárásokat is. Betartásra kerülnek-e ezek (lásd még az IBIK 12.1.6 pontját), 4) alkalmas kulcsgondozási rendszer mőködtetését a kulcsok védelmére, biztonságos kezelésére és használatára (lásd IBIK 10.3.5 pontját és a alábbi részleteket). 5) A vizsgálók kérdezzék meg és tanulmányozzák, hogy az alkalmazottak ismerik-e az irányelveket, a kriptográfiai óvintézkedések szabályait, mikor használják azokat és mikor nem, pl. a vizsgáló által megfigyelt kriptográfiai szabály használata esetén. Értékelés: •


•



123


2.9.3.1.3. Szolgáltatások a le nem tagadhatóság érdekében A le nem tagadhatóság biztosítására automatikus, a felhasználó által nem befolyásolható rendszereket kell kialakítani az elektronikus aláírási technológiára alapozva.

2.9.3.2. Kulcsmenedzsment Vizsgálat tárgya: Kulcsmenedzsment rendszer A vizsgált intézkedés célja: Egyezményes szabványok, eljárások és módszerek alapján létrehozott kulcsgondozó rendszert kell alkalmazni a kriptográfiai technikák használatának támogatására. A kulcsgondozás lényeges elıfeltétele a kriptográfiai szabályok biztonságos alkalmazásának és nem használható helyesen kriptográfia biztonságos kulcsgondozási rendszer nélkül. Vizsgálati szempontok: A vizsgálók ellenırizzék, hogy a szervezet alkalmas védelmi szabályokat valósított-e meg: 1) titkos és privát kulcsok felfedés, módosítás elleni védelmére és a rongálás megakadályozására, 2) nyilvános kulcsok és nyilvános kulcs tanúsítványok esetében a jogosulatlan módosítás, rongálás megakadályozására; 3) ha a szervezet külön kijelölt szakembert alkalmaz (külsıt vagy belsıt) a publikus kulcsainak a gondozására, biztosítani kell, hogy ez a személy adekvát módon védett, megbízható és megfelelıen vezetett legyen. Értékelés: •


•


124


Az informatikai biztonság irányításának vizsgálata 2.9.3.2.1. A kriptográfiai kulcsok védelme Vizsgálat tárgya: A kriptográfiai kulcsok védelme A vizsgált intézkedés célja: A kriptográfiai kulcsok védelme fel kell, hogy ölelje mind a logikai, mind a fizikai védelmet. Vizsgálati szempontok: 1) A vizsgálók ellenırizzék a fizikai és logikai hozzáférési szabályokat, és az alkalmazandó kriptográfiai kulcs védelmeket. 2) Ezen felül ellenırizzék, hogy a további kulcsgondozási eljárások megfelelnek az IBIK 10.3.5 fejezetének. 3) Ha kulcs kötelezvényt vagy kulcsvisszaállítási módszert, illetve eljárást alkalmaznak, biztosítani kell, hogy az alkalmazottak ismerjék azokat és ne legyen lehetıség megkerülni a kulcs kötelezvényt. Értékelés: •


•


2.9.3.2.2. Szabványok, eljárások, módszerek Vizsgálat tárgya: Szabványok, eljárások, módszerek A vizsgált intézkedés célja: A szervezet védelmi szintjének megfelelı rejtjelkulcs-kezelési rendszer kialakítása. Vizsgálati szempontok: A kulcskezelési rendszer vizsgálatánál a következı szabványok, szempontok és módszerek egyeztetett rendszerét kell figyelembe venni: 1) Kulcsgenerálási rendszer. 2) Nyilvános kulcsok hitelesítési eljárásai. 3) A felhasználói kulcsok eljuttatására, valamint az átvett kulcsok aktiválására vonatkozó módszerek.


125

Az informatikai biztonság irányításának vizsgálata 4) Kulcstárolási illetve hozzáférési szabályok. 5) Kulcsmódosítási, aktualizálási szabályok. 6) Hamisított kulcsok kezelése. 7) Kulcsvisszavonási szabályok (A kulcsok visszavonásának és használaton kívül helyezésének módja, többek között abban az esetekben, amikor a kulcsokat hamisítják vagy a kulcs tulajdonosa elhagyja a szervezetet.). 8) Kulcsok archiválási rendje. 9) Elveszett kulcsok helyreállítási szabályai (Az elveszett kulccsal rejtjelzett állományok visszaállítása az üzletmenet folytonosság terv része kell, hogy legyen.). 10) Kulcsok megsemmisítésének szabályai. 11) Kulcskezelı rendszer eseménynaplózása. Értékelés: •


•


126


Az informatikai biztonság irányításának vizsgálata 2.9.4. Rendszerállományok védelme Az ellenırzés célja: Gondoskodni arról, hogy az informatikai projekteket és az azokat segítı tevékenységeket biztonságosan vezessék. 2.9.4.1. Az operációs rendszer ellenırzése Vizsgálat tárgya: Az operációs rendszer ellenırzése A vizsgált intézkedés célja: Az üzemelı rendszert operációs rendszer szinten is folyamatosan karban kell tartani. Vizsgálati szempontok: 1) A vizsgálók ellenırizzék az üzemi rendszerre telepített szoftver megvalósítást – a kód hogyan kerül tárolásra a rendszeren, tartalmazza-e a forráskódot, hogyan történik az új verziók bevezetése, milyen a rendszerfájlok és könyvtárak védelme, milyen feljegyzésekben rögzítik a változásokat? A fejlesztı és karbantartó személyzet ismerje a teszteletlen vagy ismeretlen jogosultságú kód üzemelési rendszerre telepítésének potenciális veszélyeit, ellenırizzék ezen ismeretek meglétét. 2) Ezután vizsgálják meg a megvalósítást – milyen védelem került alkalmazásra a forrás és tárgykód vonatkozásában, történt-e adekvát regressziós tesztelés, a kód megelızı problémái visszaállíthatók-e, megtörténtek-e a teljes adatmentések a változások életbeléptetése elıtt? 3) Vizsgálják meg az üzemi kód változásainak a feljegyzéseit, teljesek-e, eléggé objektív leírást adnak-e, és valódi jogosultságot mutatnak-e? Bonyolult vagy kritikus mőveletek esetén az új vagy módosított kód gondos kivitelezését és részletes tervezését igényelhetik, vizsgálják meg ennek példáit. Értékelés: •


•



127

Az informatikai biztonság irányításának vizsgálata 2.9.4.2. A rendszervizsgálati (teszt) adatok védelme Vizsgálat tárgya: A teszt adatok védelme A vizsgált intézkedés célja: A teszt adatokat védelem és ellenırzés alatt kell tartani. A fejlesztıi-, teszt- és az éles rendszereket egymástól el kell választani. Vizsgálati szempontok: 1) Meg kell vizsgálni, hogy a tesztelési adatok megfelelıen ellenırzöttek-e. 2) A tesztelések reprodukálhatók-e, az adatok elkülönítettek és alkalmasak-e az újrateszteléshez. 3) Élı adatok használata a teszteléshez ellenjavallt, de ha mégis elıfordul ilyen, akkor módosítani vagy törölni kell minden személyes vagy más érzékeny adatot. Ezt nem lehet mindig hiánytalanul elvégezni – vagy nem lehet a teljességet biztosítani –, ezért ellenırizni kell védelmi szempontból a tesztelés mikéntjét és eredményét, mind az adatfájlokat, mind az eredményként keletkezı feljegyzéseket. 4) Élı adatok teszteléshez való használatát jogszerően engedélyezni kell – minden alkalommal –, ennek megtörténtét ellenırizni kell. 5) Ellenırizni kell, hogy van-e módszer azoknak az adatoknak a teljes törlésére, amelyek a tesztelés során az élı adatbázisba bekerülnek, és helyesek-e a hozzáférési szabályok. Az alkalmazási, valamint az operációs rendszerekhez való hozzáférésnek szigorúan ellenırzöttnek kell lennie. Értékelés: •


•


2.9.4.3. A program forráskönyvtárhoz való hozzáférés ellenırzése Vizsgálat tárgya: A program forráskönyvtárhoz való hozzáférés ellenırzése A vizsgált intézkedés célja: A forráskód fájlokhoz való hozzáférést korlátozni kell, és az üzemi környezettıl elválasztva kell tárolni. Az ilyen kódokhoz az újrafordítás és újraszerkesztés szándékával történı hozzáférés hatékonyan megkerülheti az alkalmazáshoz

128


Az informatikai biztonság irányításának vizsgálata szabályszerően megvalósított biztonsági jellemzıket. A magas biztonságú alkalmazások esetén szükséges lehet, hogy a tárgykód védelmére ellenırzı összeget hozzanak létre, amellyel a változások kiszőrhetık. Vizsgálati szempontok: 1) Át kell nézni azokat a könnyen változtatható makrókat és adatbázis jelentéskészítı programokat is, amelyek az integritás romlását és az információ sérülését okozhatják. Az ilyen megszorítások nem korlátozódhatnak a potenciális rosszakaratú incidensekre, az alkalmazás forráskód normál frissítése és újrabevezetése helyes szabályozást igényel, ami biztosítja, hogy a változások rögzítésre és tesztelésre kerüljenek az élı és sebezhetı adatokhoz való hozzáférést megelızıleg. A vizsgálók nézzék át ezeket a dokumentált eljárásokat és feljegyzéseket. 2) Az IBIK 10.4.3 fejezete további szabályokkal szolgál, amelyeket a vizsgálónak szintén meg kell vizsgálnia. Értékelés: •


•


2.9.5. Informatikai biztonság a fejlesztési és a karbantartási folyamatokban Az ellenırzés célja: Fenntartani az alkalmazási rendszerhez tartozó szoftver és információ 2.9.5.1. Változásmenedzsment Vizsgálat tárgya: Változásmenedzsment eljárások A vizsgált intézkedés célja: Az informatikai rendszer meghibásodásainak minimalizálása érdekében formális (szabályszerő) változásellenırzı eljárásokat alkalmazva kell szigorú ellenırzést gyakorolni a változtatás megvalósítása felett. Vizsgálati szempontok: 1) A vizsgálók ellenırizzék, hogy a formális változáskezelési eljárások helyesen lettek-e végrehajtva az üzemeltetési és rendszerkörnyezet összes alkalmazására. Ezen eljárások Magyar Informatikai Biztonság Irányítási Követelményrendszer

129

Az informatikai biztonság irányításának vizsgálata a minıségbiztosítási tervekbe kerülhetnek, mint a standard eljárások. Ellenırizni kell azt is, hogy léteznek-e támogatásból kiesı hasonló eljárások, és hol szükséges gondoskodni a tervezés és a követelménykezelési dokumentumok megváltoztatásáról. 2) Különösen ellenırizni kell azt, hogy a változások hogyan érintik az on-line mőködı rendszerek kezelését, ezek gyakran nagyon figyelmes és alapos tervezést igényelnek. 3) Megfelelıek-e a meghibásodásokra vonatkozó visszaállítási intézkedések? Az érzékeny rendszerrészeket támogató személyzet hozzáférési lehetıségét a szükséges esetekre kell korlátozni, és vizsgálni kell ennek a megvalósulását. 4) Ellenırizni kell, hogy minden változás pontosan felhatalmazott módon megy-e végbe (vagyis a felhatalmazás a megfelelı vezetési szintrıl érkezik, és az üzemeltetés vezetısége bevonásra kerül), a változásokat korrekt módon szemlézik és ellenırzik, majd végül azt, hogy a teljes engedélyezési folyamat a változtatás véghezvitele elıtt megtörténik-e. 5) A változtatásokat gyakran egy csoportba egyesítik és új változat („release”) formájában valósítják meg, majd alkalomszerően vezetik be. Ilyen esetben meg kell vizsgálni, hogy a változatok nyilvántartása pontosan követi-e az elvégzett változtatásokat. 6) Valószínő, hogy vészforgatókönyv is alkalmazásra kerül az üzemeltetési rendszer meghibásodásainak a kijavítására; ellenırizni kell, hogy ez megfelel-e a fenti kritériumoknak. 7) Ellenırizni kell, hogy helyes konfiguráció szabályzást alkalmaztak-e a változtatások során, és a megvalósított verzió feljegyzéseinek javítása helyesen történt-e meg. Értékelés: • Megfelel a követelménynek: Ha a vizsgálati szempontok pontban felsorolt valamennyi biztonsági követelmény, eljárás definiált és maradéktalanul megvan. •


2.9.5.2. Az operációs rendszer megváltoztatásával kapcsolatos ellenırzések Vizsgálat tárgya: Az operációs rendszer változtatásainak ellenırzése A vizsgált intézkedés célja: A szervezeteknek rendelkezniük kell operációs rendszer változásaira vonatkozó felülvizsgálati eljárással. Ezt még a tervezett változtatás megvalósítását megelızıleg létre kell hozni, lehetıség szerint a tesztmegvalósítást ki kell 130


Az informatikai biztonság irányításának vizsgálata értékelni. A felülvizsgálatnak magában kell foglalnia a változtatást követıen végrehajtandó feladatok szabályozásának az értékelését és ellenırizni kell, hogy az megfelel-e a követelményeknek. Vizsgálati szempontok: 1) A vizsgálók ellenırizzék az ilyen felülvizsgálatok inputjait, úgymint az adattáblázatok és a változatok, feljegyzések elıállítóit. Az elérhetı adatokat értékeljék ki az azonosított szoftverváltoztatási szükséglekkel – például ahol megkerülı módszer („work around”) került alkalmazásra az operációs rendszer hibáival kapcsolatban – és a támogatási intézkedésekkel együtt. 2) A felülvizsgálatok outputjai tartalmazzák a szükséges alkalmazásváltoztatásokat és az új operációs rendszer verziók megvalósítási tervét. 3) Az operációs rendszer verziót (plusz a programjavításokat, „foltokat”, „tapaszokat” (patch, service pack)) feltétlenül specifikálni kell a konfigurációs feljegyzésekben. Bizonyos esetekben a szervezet dönthet úgy, hogy nem frissíti az operációs rendszert, ezekben az esetekben ellenırizni kell, hogy van-e hozzáférés a szükséges szintő támogatáshoz, vagy sem, vagyis azonosítani kell a kockázatokat és reagálni kell a kockázat becslésre. Értékelés: •


•


2.9.5.3. A szoftvercsomagok megváltoztatásának korlátozása Vizsgálat tárgya: A vásárolt programok változtatására vonatkozó korlátok A vizsgált intézkedés célja: A vásárolt programok javítókészleteinek biztonságos telepítése. A szoftverkonfiguráció kezelése helyesen dokumentált változáskezelési eljárás használatát igényli. Vizsgálati szempontok: 1) A szoftverkonfiguráció kezelése helyesen dokumentált változáskezelési eljárás használatát igényli. Meg kell vizsgálni, hogy minden változtatást kontrollált módon Magyar Informatikai Biztonság Irányítási Követelményrendszer

131

Az informatikai biztonság irányításának vizsgálata vezetendı be és biztosítandó, hogy a változások teljesen igazoltak és a megvalósítást megelızıen jóváhagyottak legyenek. 2) A szoftvercsomagok csak akkor módosíthatók, ha azt az üzleti követelmények megkívánják. Esetenként a kód változtatása megoldható egy program ”tapasz” vagy „folt” formájában; ebben az esetben biztosítani kell ennek korrekt eltávolíthatóságát és a dokumentáció szükséges aktualizálását. 3) Esetenként a szervezetnek hozzá kell férnie a forráskódhoz, de nincs tervezési jogosultsága; az ilyen módosítási jogokat szerzıdésben kell definiálni, de biztosítani kell, hogy ettıl kezdve a módosítások korrekt módon kerülnek megvalósításra, mert ha nem lenne teljes hozzáférési joga a tervezési feljegyzésekhez, az a továbbiakban rendszer integritási kockázatot okoz. 4) Át kell tekinteni az eredeti program új változatainak keletkezésével együttjáró változások kezelését is. Ellenırizni kell, hogy rendelkezésre áll-e a végrehajtott változtatások komplett története, és e feljegyzések megırzésre kerülnek-e, amíg az szükséges. 5) Definiálni kell a regressziós tesztek egy olyan készletét, amellyel validálható a módosított kód végrehajtása, melyrıl meg kell gyızıdni. Értékelés: •


•


2.9.5.4. A rendszerinformációk kiszivárgásának megakadályozása Vizsgálat tárgya: Rejtett csatorna, trójai faló A vizsgált intézkedés célja: Sok szoftver tartalmaz különbözı formában rejtett kódot. Az ilyen kódok egy része általában ártalmatlan és nem tekintendı gyenge pontnak. Másfelıl egy ilyen kód rejtett csatornává válhat, és mint trójai programok, nehezen detektálhatók. A szoftver vásárlását, használatát és módosítását szigorúan ellenırizni kell, hogy védekezhessünk a rejtett csatorna kiépülése és a trójai faló bejutásának lehetısége ellen.

132


Az informatikai biztonság irányításának vizsgálata Vizsgálati szempontok: 1) A vizsgáló ellenırizze a szervezet elıkészületeit az ilyen rejtett csatorna és trójai programokkal kapcsolatban. 2) Figyelembe kel venni, hogy a rejtett csatorna és trójai program jogosulatlan felfedéshez, módosításhoz és információ megsemmisítéshez vezethet. 3) A vizsgáló vegye figyelembe az IBIK 10.5.4 fejezetében felsoroltakat, amelyek a rejtett csatorna és a trójai program ellen alkalmazhatók. Értékelés: •


•


2.9.5.5. A programfejlesztés kihelyezése Vizsgálat tárgya: A programfejlesztés kihelyezése A vizsgált intézkedés célja: A kihelyezett szoftverfejlesztés kockázatait a szervezetnek vizsgálniuk kell. Ideális esetben a fejlesztési környezet és az alkalmazott eljárások felülvizsgálandók és szemlézendık. A fejlesztésekhez kapcsolódó kockázatokat és a biztonsági követelményeket át kell tekinteni, és az azonosított kockázatokat a fejlesztési szerzıdésekben kezelni kell. Vizsgálati szempontok: A vizsgálók ellenırizzék, hogy a szerzıdések tartalmazzák-e: 1) a fejlesztett szoftver- és egyéb kód minıségi követelmények alkalmasságára és minıségére vonatkozó feltételeket, 2) a hozzáférési jogokat, amennyiben auditálás szükséges az elvégzett munka minıségének biztosítására, 3) a kifejlesztett szoftver szellemi tulajdoni kérdéseit és a tulajdonjogokat definiáló szabályozásokat és szerzıdéseket, 4) a fejlesztett kód funkcionalitásának elégséges tesztelését, beleértve a vírusok, a rejtett csatornák és trójai programok létének ellenırzését.


133



•


134



2.10. Az informatikai biztonsági incidensek kezelése Az ellenırzés célja: Gondoskodni arról, hogy a biztonsági események és zavarok okozta kár minimális legyen, továbbá hogy a véletlen biztonsági eseményeket megfigyelés alatt tartsák és azokból okuljanak. 2.10.1. Biztonsági események és biztonsági rések jelentése 2.10.1.1. A biztonsági események jelentése Vizsgálat tárgya: A biztonsági események jelentése A vizsgált intézkedés célja: Minden szervezetnek megfelelı eljárásokkal és vezetıi csatornákkal kell rendelkeznie a biztonsági események jelentéséhez. Vizsgálati szempontok: 1) A vizsgálónak ellenıriznie kell, hogy ezek az eljárások kiterjednek-e a valamennyi lehetséges eseményre és megfelelı választ tudnak-e biztosítani. Nyilvánvaló biztonsági eseményekre utaló kérdések útján fel lehet mérni a személyzet tudását és hozzáállását: „Ön szerint egy kiékelt kártyás kapu biztonsági eseményt jelent?”. 2) Ahol már voltak bejelentve biztonsági események, ott végig kell követni azok útját: volte érdemi kivizsgálás, tettek-e intézkedést és az megoldotta-e a problémát valamint a bejelentı kapott-e visszajelzést. Értékelés: •


•

Nem felel meg a követelménynek: Ha a „vizsgálati szempontok” pontban felsorolt valamennyi követelmény és eljárás közül egyik sincsen megvalósítva. 2.10.1.2. Biztonsági rések, gyenge pontok jelentése

Vizsgálat tárgya: Biztonsági rendszerek hiányosságainak jelentése A vizsgált intézkedés célja: Hasonló jelentési folyamatokra van szükség, mint a gyanított vagy valós biztonsági gyengeségekkel kapcsolatban. Fontos, hogy minden munkavállaló tisztában legyen a biztonság gyengeségeirıl szóló beszámolás fontosságával, mégpedig nem


135

Az informatikai biztonság irányításának vizsgálata csak közvetlenül az adatfeldolgozó rendszereket illetıen. A feltárt gyengeségeket pedig nem szabad kihasználni jóhiszemő célokra – például a munkavégzés megkönnyítésére – sem. Vizsgálati szempontok: 2) A vizsgálónak ellenıriznie kell a személyzet tudását és hozzáállását a biztonsági eseményekre utaló kérdések útján: a) A munkája során Ön milyen biztonsági réseket vél felfedezni a rendszerben? b) Meg tud nevezni legalább egy olyan lehetıséget, ahol az Ön által használt rendszer védelme megkerülhetı? c) Az

Ön

szervezeti

egységének

az

Ön

által

ismert

munkafolyamataiban,

elképzelhetınek találja az esetleges visszaélések lehetıségét? d) Küldött már jelentést a szervezet vezetıjének egy Ön által vélt biztonsági hiányossággal kapcsolatban? Dokumentáltan történt? Kapott erre a bejelentésére választ? 3) Ahol már érkeztek be ilyen jelentések, ott végig kell követni azok útját: volt-e érdemi kivizsgálás, tettek-e intézkedést és az megoldotta-e a problémát valamint a bejelentı kapott-e visszajelzést. Értékelés: •


•

Nem felel meg a követelménynek: Ha a „vizsgálati szempontok” pontban felsorolt valamennyi követelmény és eljárás közül egyik sincsen megvalósítva. 2.10.1.2.1. Programhibák jelentése

Vizsgálat tárgya: Programhibák jelentése A vizsgált intézkedés célja: Programhibák esetében igen fontos a gyors kezelés, mivel az komoly károkat elızhet meg. A javításra irányuló intézkedéseket különös figyelemmel kell kísérni, mivel azok újabb sérülékenységeket is okozhatnak. Vizsgálati szempontok: 1) A vizsgálónak meg kell gyızıdnie arról, hogy a programhibák bejelentése szabályozotte, dokumentált-e a és a bejelentéshez rendelkezésre áll-e megfelelı őrlap, mely segíti a bejelentıt a körülmények pontos rögzítésében.

136


Az informatikai biztonság irányításának vizsgálata 2) Külön meg kell vizsgálni, hogy a szervezetnek van-e szabályozott eljárása arra az esetre, ha harmadik fél (például a szoftver szállítója vagy biztonsági tanácsadó) bevonására is szükség van, mivel ez esetben az információ kiadása önmagában is biztonsági kérdéseket vet fel. Értékelés: •


•

Nem felel meg a követelménynek: Ha a „vizsgálati szempontok” pontban felsorolt valamennyi követelmény és eljárás közül egyik sincsen megvalósítva. 2.10.2.2. Okulás az informatikai biztonsági incidensekbıl

Vizsgálat tárgya: Okulás véletlen eseményekbıl A vizsgált intézkedés célja: Minden szervezet számára fontos, hogy a véletlen biztonsági események és rendszerhibák fajtáit, mennyiségét és költségeit felmérjék, figyeljék és tegyék meg ellenük a szükséges intézkedéseket. Vizsgálati szempontok: 1) A vizsgálónak át kell tekintenie a szervezet biztonsági eseményekre adott múltbeli reakciójának bármely példáját. Ha nincs ilyen példa, vagy nem áll rendelkezésre kellı adat, abból arra következtethetünk, hogy nem mőködik jól a jelentési rendszer. 2) A korábbi eseményeket a képzési és tudatosítási programokban valós példákként kell felhasználni, amennyiben nem titkosak. Értékelés: •


•

Nem felel meg a követelménynek: Ha a „vizsgálati szempontok” pontban felsorolt valamennyi követelmény és eljárás közül egyik sincsen megvalósítva. 2.10.2.3. Bizonyítékok győjtése, védelme

Vizsgálat tárgya: A bizonyítékok győjtésének módja A vizsgált intézkedés célja: Amikor egy személy vagy szervezet elleni tevékenység a polgári vagy a büntetı törvénykönyv rendelkezéseibe ütközik, akkor a benyújtott


137

Az informatikai biztonság irányításának vizsgálata bizonyítékoknak meg kell felelniük azoknak a bizonyítási szabályoknak, amelyek a hatályos jogszabályokban vagy a bíróságok eljárási szabályaiban vannak lefektetve. Vizsgálati szempontok: 1) Meg kell vizsgálni a szervezetnél a bizonyítékok összegyőjtésére használt eljárásokat, biztosítva ezzel, hogy: a) az

összegyőjtött

információ

megfeleljen

a

megfelelı

jogszabályoknak

és

szabványoknak, b) megfelelı legyen a bizonyítékok minısége és teljessége, pl. a bizonyíték súlya megfelelı legyen, az információ teljessége és pontossága megállapítható legyen, c) az IBIK-nek megfelelıen a vizsgálók ellenırizzék az összegyőjtött bizonyítékok tárolását és hogy illetéktelen személyek módosíthatják-e vagy megsemmisíthetik-e azokat. 2) Ezen kívül a vizsgálók meg kell, hogy fontolják azokat a feltételeket, amelyek mellett az összegyőjtött bizonyítékok felhasználhatóak maradnak. A bizonyítékok győjtését korai fázisban meg kell kezdeni, hogy ne lehessen az információt megváltoztatni. Értékelés: •


•


2.10.2.3.3. A bizonyítékok minısége és hiánytalan volta Vizsgálat tárgya: A bizonyítékok minısége és hiánytalan volta A vizsgált intézkedés célja: Az esetleges biztonsági eseményekkel kapcsolatos valamennyi bizonyíték megırzése kivizsgálás céljából. A bizonyíték megfelelı minıségének (bizonyító erejének) és teljességének eléréséhez erıs, tartós bizonyítéknaplóra van szükség. Vizsgálati szempontok: Az rendelkezésre álló dokumentumok, jegyzıkönyvek alapján az auditornak meg kell gyızıdnie a következı biztonsági intézkedések meglétérıl: 1) Papíron rögzített okmányok (dokumentumok) esetében: az eredetit biztonságosan tárolják

138


Az informatikai biztonság irányításának vizsgálata és rögzítik azt is, hogy ki találta meg, hol találta meg, mikor találta meg, és hogy a feltalálását kik tanúsítják. Csak alaposan megejtett vizsgálat szavatolhatja, hogy az eredetit nem hamisították meg. 2) Számítógép-adathordozón rögzített információ esetében: a hordozható adathordozók, valamint a háttértárolón és a központi tárolón talált információ másolatait ajánlatos megırizni, és rendelkezésre állásáról gondoskodni. A másolási folyamat során ajánlatos valamennyi tevékenységrıl naplófeljegyzést készíteni, és a folyamathoz tanút hívni. A naplónak és az adathordozónak egy-egy példányát ajánlatos biztonságosan megırizni. 3) Amikor a véletlen eseményt elıször észlelik, mindjárt nyilvánvaló lehet az is, hogy esetleg bírósági ügy lehet belıle. Éppen ezért fennáll annak a veszélye, hogy a szükséges bizonyítékok véletlenül megsemmisülnek még mielıtt a véletlen esemény komolyra fordulna. Tanácsos jogtanácsost vagy a rendırséget idıben bevonni az ügybe bármely tervezett jogi lépés elıtt és kikérni tanácsukat a szükséges bizonyítékokat illetıen. Értékelés: •


•



139


2.11. Üzletmenet-folytonosság menedzsment

2.11.1. Az üzletmenet-folytonosság menedzsment informatikai biztonsági szempontjai Vizsgálat tárgya: Üzletmenet-folytonosság menedzsment területei A vizsgált intézkedés célja: Az üzletmenet-folytonosság tervezés kimeneteként egy hatékony kockázatértékelı folyamatot és megfelelı mértékő védelmet kell kapnunk a bekövetkezhetı kiesések és katasztrófák ellen. A tervek hatóköre és részletei természetszerőleg legyenek összeegyeztethetıek a biztonsági és üzleti követelményekkel. Vizsgálati szempontok: 1) A vizsgálók ellenırizzék, hogy az üzletmenet-folytonosság menedzsment folyamatok helyesek-e, ellenırizzék a karbantartottságot, és hogy alkalmazzák-e az egész szervezetben. 2) A vizsgálók vizsgálják meg a folyamathoz kapcsolódó dokumentációt, és biztosítsák, hogy azok tartalmazzák az IBIK 11.1.1 fejezetében felsorolt elemeket. Az üzletmenetfolytonossági tervnek kockázatelemzésen kell alapulnia, és érintenie kell a kapcsolódó üzleti fennakadásokat. 3) A vizsgálók ellenırizzék a kockázatértékelés teljességét valamint hogy az felöleli-e a szervezet minden, üzleti fennakadásokkal kapcsolatos részét és nem kizárólag az adatfeldolgozó képességekre szorítkozik. A kockázat- és hatáselemzés eredményét fel kell használni az üzletmenet-folytonossági terv készítése során. 4) A vizsgálók bizonyosodjanak meg róla, hogy a terv hatóköre és részletei kielégítik az üzleti és biztonsági követelményeket továbbá azt, hogy a menedzsment jóváhagyta (aláírta) a tervet. Értékelés: •


•


140


Az informatikai biztonság irányításának vizsgálata 2.11.1.1. Az informatikai biztonsági szempontok érvényesítése az üzletmenetfolytonosság irányításában Vizsgálat tárgya: Az üzletmenet-folytonosság menedzsment folyamat A vizsgált intézkedés célja: Olyan menedzselt folyamatot kell mőködtetni, amellyel az üzletmenet folyamatosságát lehet fejleszteni és karbantartani az egész szervezetben. Vizsgálati szempontok: A vizsgálónak meg kell vizsgálnia a következı biztonsági intézkedések megvalósítását: 1) Az üzletmenet-folytonosságának fenntartását szolgáló eljárások és a megelızı és helyreállítást vezérlı eljárások (üzletmenet-folytonossági terv, katasztrófa-elhárítási terv) együttes alkalmazásával mérsékelni kell a különbözı rendellenességek és a biztonsági rendszer meghibásodása által okozott fennakadásokat. (Ezek lehetnek többek között természeti katasztrófák, balesetek, berendezésekben keletkezett hibák, vagy szándékos cselekmények következményei.) 2) Elemezni kell a meghibásodások, fennakadások és üzemzavarok következményeit. 3) Az üzletmenet-folytonosságának irányítása ki kell, hogy terjedjen – többek között – a kockázatok azonosítására és csökkentésére alkalmas ellenırzı eszközökre, a kárt okozó események következményeinek korlátozására, valamint a lényeges tevékenységek idıben történı újraindítására. Értékelés: •


•


2.11.1.3. Az üzletmenet-folytonossági terv kidolgozása Vizsgálat tárgya: Az üzletmenet-folytonossági terv kidolgozása A vizsgált intézkedés célja: Az üzletmenet-folytonossági terveknek a fentiekben azonosított üzleti és biztonsági követelményekre kell koncentrálniuk. Tervet kell készíteni az üzletmenet mőködésének fenntartására, és a kritikus üzleti folyamatok meghibásodását vagy megszakadását követıen kívánt idın belüli helyreállítására.


141

Az informatikai biztonság irányításának vizsgálata Vizsgálati szempontok: A vizsgálóknak ellenırizniük kell, hogy: 1) lettek-e a tervekhez hozzárendelve üzleti követelményeknek megfelelı idıléptékek és azok reálisak-e; 2) minden megegyezés szerinti és hozzárendelt felelısséget; 3) az alkalmazottak ismerik-e felelısségeiket, és mi az elképzelésük arról, hogy mit fognak tenni veszélyhelyzet és az üzletmenet akadályoztatása esetén; 4) a tervekben definiált eljárások a megvalósítási ütemtervnek megfelelıen lettek-e dokumentálva és megvalósítva; 5) az érintett személyek hogyan értelmezik a vészhelyzeteket és üzletmenetet érintı akadályokat, és mi az elképzelésük az ilyen helyzetekben szükséges tennivalókról; 6) a tervek a definiált ütemtervnek megfelelıen kerültek-e ellenırzésre és aktualizálásra. Értékelés: •


•


2.11.1.4. Az üzletmenet-folytonosság tervezési keretrendszere Vizsgálat tárgya: Az üzletmenet-folytonosság tervezési keretrendszere A vizsgált intézkedés célja: Az üzletmenet folyamatosságának terveihez keretrendszert kell fenntartani, hogy valamennyi terv ellentmondásmentes rendszert alkosson, és hogy a vizsgálatokhoz és a karbantartáshoz elsıbbségi rendet (prioritásokat) lehessen azonosítani. Vizsgálati szempontok: 1) Azoknál a szervezeteknél, ahol osztályonként különbözı tervekkel rendelkeznek a forgatókönyvek különbségei miatt, biztosítani kell, hogy a tervek egy konzisztens keretrendszerbe illeszkedjenek; ellenırizni kell e keretrendszer meglétét, és a tervek konzisztenciáját. 2) A terveknek konzisztenseknek kell lenniük a szolgáltatási kötelezettség szintekkel,

142


Az informatikai biztonság irányításának vizsgálata ami ellenırizendı. 3) Ellenırizni kell, hogy a terv könnyen elérhetı-e, hogy alkalmaznak-e megfelelı dokumentum védelmet, a kulcsszemélyzet ismeri az indulási követelményeket és hogy a továbbiakban szükséges dolgok – mint pl. kulcsok, biztonsági kódok, segélyhívó telefonszámok, stb. hol találhatóak. 4) Meg kell vizsgálni a tervben szereplı személyzetet, meg van-e bízva egy vagy néhány kulcsszemély, illetve mi történik, ha ık nem elérhetıek? 5) Meg kell vizsgálni a vészhelyzetben szükséges információk – kontaktszemélyek nevei, hozzáférési kódok, stb. – aktualizálási követelményeit és ellenırizni kell ezek betartását. 6) Meg kell vizsgálni, hogy figyelembe lettek-e véve a tipikus forgatókönyvek, úgymint adatsérülés, vírustámadás, tőz, kulcsszemély hiánya, utánpótlási problémák. 7) Gondoskodtak-e

a

helyreállítási

munkafolyamat

ellenırzésérıl,

az

adatvisszaállításról, alternatív helyre való átszállításról, stb.? Az IBIK 11.1.4 pontja részletes ellenırzı listát tartalmaz az üzletmenet folytonossági keretrendszer tervezésére vonatkozóan. Értékelés: •


•


2.11.1.5. Az üzletmenet-folytonossági tervek vizsgálata, karbantartása és újraértékelése Vizsgálat tárgya: Az üzletmenet-folytonossági tervek vizsgálata, karbantartása és újraértékelése A vizsgált intézkedés célja: Az üzletmenet folyamatosságának terveit szabályos idıközönként felül kell vizsgálni, hogy a tervek aktuálisak, naprakészek és hatékonyak legyenek. Vizsgálati szempontok:


143

Az informatikai biztonság irányításának vizsgálata A vizsgálónak meg kell vizsgálnia a következı biztonsági intézkedések megvalósítását: 1) A tervek készítésére készüljön egy jól definiált fejlesztési terv; azaz teljes áttekintés, a kezdeti problémák megvitatása, az elemzést követıen ütemezett vizsgálat és áttekintés, végül váratlan vizsgálatok a folyamatos alkalmasság és a személyzet kiképzésének biztosítása érdekében. 2) A vizsgálatok eredményeit ki kell értékelni, fordultak-e elı problémák, ezek elemzésre és kijavításra kerültek-e, mik voltak a végrehajtás rendszabályai, megfeleltek-e ezek a szolgáltatás szint kötelezettségeinek? 3) Azt is vizsgálni kell, hogy mi a hatása az új alkalmazottak illetve harmadik felek bevonásának a vizsgálatba. A folyamatos mőködés nagyon gyakran múlik a hatékony együttmőködésen. 4) Vizsgálni kell, hogy a tervek rendszeresen aktualizálásra kerültek-e, vannak-e a helytállóság

felülvizsgálatát,

új

képességek

megvalósítását,

követelmények

változásának szabályozását bizonyító bejegyzések Ellenırizni kell a felelısségek karbantartását, a tervek aktualizálását, és a tervek minden olyan változását, amelyek csak megfelelı felhatalmazással végezhetık el. Értékelés: •


•


144



2.12. Megfelelés a jogszabályoknak és a belsı biztonsági szabályzatoknak

2.12.1. A jogszabályi elıírások betartása Az ellenırzés célja: Elkerülni bármely büntetıjogi vagy polgári jogi törvénynek, a törvényes, szabályozói vagy szerzıdéses kötelezettségnek, valamint bármely biztonsági követelménynek a megszegését. 2.12.1.1. A vonatkozó jogszabályok behatárolása Vizsgálat tárgya: A vonatkozó jogszabályok behatárolása A vizsgált intézkedés célja: Minden vonatkozó törvényes, szabályozói vagy szerzıdéses követelményt valamennyi információrendszerre részletesen meg kell határozni és dokumentálni kell. Vizsgálati szempontok: 1) A szervezetnek prezentálnia kell a vizsgálók felé azokat az akciókat, amelyekkel elvégezték az alkalmazandó törvényi feltételek meghatározását és az azoknak való megfelelést. 2) A vizsgálóknak ellenırizniük kell, hogy alkalmazandó törvényi feltételek nem lettek figyelmen kívül hagyva feledékenységbıl vagy tévedésbıl sem. 3) A szervezetnek rendelkeznie kell azon szabályozásokkal, amelyek megfelelnek az azonosított törvényi követelményeknek. Az e szabályzásokkal kapcsolatos felelısségeket azonosítani és dokumentálni kell és a felelısségeket felelısökhöz kell kötni. Értékelés: •


•


2.12.1.2.1. Szerzıi jogok Vizsgálat tárgya: Szerzıi jogok Magyar Informatikai Biztonság Irányítási Követelményrendszer

145

Az informatikai biztonság irányításának vizsgálata A vizsgált intézkedés célja: Alkalmas eljárást kell megvalósítani azért, hogy gondoskodjunk a jogi korlátoknak való megfelelésrıl minden olyan eszköz, információ, szoftver használata esetében, amelyeknek szellemi tulajdonjogi vonatkozásai vannak, mint a szerzıi jogok, a tervezıi jogok, vagy a védjegyek/márkajelek. A szerzıi jogok megsértése jogkövetkezményeket vonhat maga után, amely büntetıeljárást is magában foglalhat. Vizsgálati szempontok: 1) A vizsgálónak meg kell vizsgálnia, hogy a szervezet milyen intézkedésekkel igyekszik betartani a jogszabályi követelményeket: a) A törvényes, szabályozói vagy szerzıdéses követelmények korlátozhatják a szervezet tulajdonát képezı írott anyagok másolását. b) Különösen azt követelhetik meg, hogy kizárólag olyan eszközöket lehessen használni, amit maga a szervezet állított elı, vagy pedig olyanokat, amelyekre jogot szerzett (licenszet vett) vagy azt a fejlesztı maga adta át a szervezetnek. Értékelés: •


•

Nem felel meg a követelménynek: Ha a vizsgálati szempontok pontban felsorolt valamennyi követelmény és eljárás közül egyik sincsen megvalósítva. 2.12.1.2.1. Szoftver szerzıi jogok

Vizsgálat tárgya: Szoftver szerzıi jogok A vizsgált intézkedés célja: Szükség van a szervezeti szoftverhasználat pontos szabályozására. Vizsgálati szempontok: 1) A vizsgálók tanulmányozzák, hogy milyen licenszek kerültek megvásárlásra, majd a megfelelıség hogyan kerül fenntartásra. 2) Sok kereskedelmi szoftvercsomag tartalmaz különbözı formákban elıállított licensz megállapodást. Egységes formátum nem lévén, össze kell győjteni a felhasználószámra, korlátozásokra stb. vonatkozó információkat, hogy a valós helyzettel összevetve ellenırizzék a licensz megállapodásnak való megfelelıséget. 3) Meg kell vizsgálni a fejlesztıeszközök- és könyvtárak használatát, hogy korrekt módon

146


Az informatikai biztonság irányításának vizsgálata mőködtetik ezeket. 4) A szervezetre egyedileg fejlesztett szoftverekkel kapcsolatban meg kell vizsgálni: a) a fejlesztési- vagy támogatási szerzıdést; b) van-e biztosítva a forrásprogram elérése; c) végezhetık-e a szoftveren változtatások házon belül; d) vannak-e korlátozások a szoftver használatával vagy helyével kapcsolatban. 5) Ellenırizni kell, hogy a szervezet, felelıs személyen keresztül, teljes körültekintéssel eleget tehessen a szoftver szerzıi jogokkal kapcsolatos kötelezettsségeinek. Értékelés: •


•

Részben megfelel a követelménynek: Mivel nem jogtiszta szoftverek használata bőncselekménynek minısül, a követelményeknek nem lehet részben megfelelni.

•


2.12.1.3. A szervezet adatainak biztonsága Vizsgálat tárgya: A szervezet adatainak biztonsága A vizsgált intézkedés célja: A szervezeti nyilvántartásokat, amelyekre jogszabályi vagy szabályozási célból van szükség, rendszerint a szervezet teljes nyilvántartásának részeként, üzleti vagy más okból kell fenntartani. Biztosítani kell, hogy törvényi vagy szabályozási célból szükséges nyilvántartások azonosításra kerüljenek, a rájuk vonatkozó összes követelménnyel együtt. Ide tartoznak többek között a pénzügyi nyilvántartások, az ügyfélnyilvántartások, a jogszabályi, valamint környezettel kapcsolatos nyilvántartások. Vizsgálati szempontok: 1) A

pontos

követelmények

országról-országra

változnak,

és

a

megfelelı

követelményeknek a szervezeti igényekkel körültekintı módon összhangban kell lenniük. 2) A tárolási utasítások (az adatbiztonságot is beleértve) szemlézési és kezelési Magyar Informatikai Biztonság Irányítási Követelményrendszer

147

Az informatikai biztonság irányításának vizsgálata követelményeit eljárásokban kel szabályozni. 3) Őrlapos vagy világosan azonosítható indexes formában kell rendelkezni arra nézve, hogy mely nyilvántartások léteznek és melyeket kell a vizsgálóknak ellenırizniük hitelességi szempontból. 4) Bizonyos dokumentumok tárolhatók elektronikus formában, vagy azért, mert ez az eredeti formájuk vagy mert beszkennelésre kerültek. 5) Ellenırizni kell, hogy a szervezet felülvizsgálta a tárolási mód törvényi elfogadhatóságát, és a specifikált követelményekkel való összhangját. Értékelés: •


•


2.12.1.4. Személyes adatok védelme Vizsgálat tárgya: Személyes adatok védelme A vizsgált intézkedés célja: A személyes adatok törvényeknek megfelelı kezelése a szervezeten belül. Vizsgálati szempontok: 1) A vizsgálónak figyelmet kell fordítania a rögzített adatokra: a) szükséges-e egyáltalán azok kezelése, b) ellenırzésre kerültek-e, c) továbbításra kerültek-e, d) vagy valamilyen módon, a vállalaton kívülre került-e? e) Kinek van hozzáférése az adathoz, szükséges-e ez az ı munkájához? 2) Ellenırizni kell, hogy a szervezet figyelemmel kíséri-e az ezen a területen bekövetkezı változásokat. Az új, eltérı korlátozások megfelelı idıközönként kerülhetnek bevezetésre. Rendelkezik-e a szervezet kellı tudatossággal, vannak-e tervek a megfelelés megadott idın belül történı biztosítására? A vizsgálók biztosítsák, hogy teljes mértékben 148


Az informatikai biztonság irányításának vizsgálata aktuális tudással rendelkezzenek ezen a területen. Értékelés: •


•


2.12.1.5. Az adatvédelmi eszközökkel elkövethetı visszaélések megelızése Vizsgálat tárgya: Az adatvédelmi eszközökkel elkövethetı visszaélések megelızése A vizsgált intézkedés célja: A vezetıségnek kell kiadnia a jogosítványt az infomációfeldolgozó eszközök használatára és ellenırzı intézkedéseket kell alkalmaznia, hogy megakadályozza a visszaélést ezekkel az eszközökkel. Vizsgálati szempontok: A vizsgálónak meg kell vizsgálnia, hogy a szervezet vezetése elıírta a következı védelmi intézkedések betartását: 1) Az informatikai eszközök bármely olyan használata, amelyik nem felel meg az üzleti céloknak, vagy amelyre nincs a vezetéstıl kapott felhatalmazás, úgy tekintendı, mint az eszközök helytelen használata. Ha megfigyeléssel (monitorozással) vagy más módon azonosítjuk, hogy elıfordult ilyen tevékenység, akkor erre fel kell hívni a vonatkozó fegyelmi eljárásban illetékes vezetı figyelmét. 2) A használat figyelésének (monitorozásának) a jogszerősége megkívánja, hogy a munkatársakat a megfigyelésre figyelmeztessük. A megfigyelési eljárás alkalmazása elıtt ajánlatos jogi tanácsot kérni. 3) A jogosulatlan számítógéphasználat bőncselekmény. Ezért lényeges, hogy minden felhasználó legyen tudatában a saját, engedélye szerinti jogosultságainak, az engedélyezett hozzáférései körének. Ezt azzal lehet elérni, hogy a felhasználók írott formában kapják meg a felhatalmazásukat, amelynek egy példányát a felhasználóval alá kell íratni, és biztonságosan megırizni. A szervezet munkatársai ugyanúgy, mint a harmadik félhez tartozó felhasználók, kapjanak megfelelı tájékoztatást arról, hogy semmilyen más hozzáférés nincs megengedve, csak az, amelyre felhatalmazást kaptak. 4) Minden egyes bejelentkezéskor ajánlatos figyelmeztetı üzenetet megjeleníteni a


149

Az informatikai biztonság irányításának vizsgálata számítógép képernyıjén, amely mutatja, hogy a rendszer, amelybe belépni készülnek, magántulajdonú és abba a jogosulatlan belépés nincs megengedve. Ajánlatos ezt a használóval nyugtáztatni, és elvárni tıle, hogy a képernyın megjelenített üzenetre kellı módon válaszoljon ahhoz, hogy a bejelentkezési folyamatot folytathassa. Értékelés: •


•

Nem felel meg a követelménynek: Ha a vizsgálati szempontok pontban felsorolt valamennyi követelmény és eljárás közül egyik sincsen megvalósítva. 2.12.1.6. A kriptográfiai eszközök kezelésének szabályozása

Vizsgálat tárgya: A kriptográfiai eszközök kezelésének szabályozása A vizsgált intézkedés célja: Olyan biztonsági intézkedéseknek kell hatályban lenniük, melyek gondoskodnak a jogszabályoknak, belsı szabályozásoknak vagy más elıírásoknak való megfelelıségrıl. Ezekkel az intézkedésekkel irányítjuk a kriptográfiai eszközökhöz való hozzáférést és azok használatát. Vizsgálati szempontok: 1) A szervezetnek be kell mutatnia a vizsgálók számára az alkalmazható kriptográfiai szabályokra vonatkozó jogszabályok és egyéb szabályozások azonosítása érdekében végrehajtott akciókat és ezek eredményeibıl azokat az elıírásokat, melyek a megfelelés biztosításához szükségesek. 2) A követelmények teljesítéséhez szükséges szabályokat dokumentálni, implementálni majd karbantartani szükséges. A vizsgálónak ellenıriznie kell, hogy a kriptográfiai szabályok implementációja megfelel az azonosított törvényi követelményeknek. Értékelés: •


•


150


Az informatikai biztonság irányításának vizsgálata 2.12.2. Az informatikai biztonságpolitikának és a mőszaki követelményeknek való megfelelés Az ellenırzés célja: Gondoskodni arról, hogy a rendszerek megfeleljenek a szervezet biztonsági szabályzatainak és a szabványoknak. 2.12.2.1. Az informatikai biztonsági elıírásoknak való megfelelés Vizsgálat tárgya: Az informatikai biztonsági elıírásoknak való megfelelés A vizsgált intézkedés célja: A vezetıknek garantálniuk kell, hogy a felelısségi körükbe tartozó valamennyi biztonsági eljárást helyesen hajtották végre, és a szervezeten belül valamennyi területet idırıl idıre felül kell vizsgálniuk, hogy gondoskodjanak arról, hogy megfeleljenek a biztonsági szabályzatoknak és a szabványoknak. Vizsgálati szempontok: 1) Annak megállapításához, hogy milyen fokozatú biztonságpolitikákat és eljárásokat kell a menedzsmentnek alkalmaznia, szabatos belsı megfelelési tanúsításokat kell végrehajtani. 2) A tanúsításokat tervezni kell, kompetens személyzettel kell végrehajtatni, teljesen dokumentálni majd kell, ellenırizni kell a nem megfelelı elemek feloldását és a felsı vezetés felé való jelentését. 3) A tanúsítások ismétlıdési gyakoriságát a biztonsági követelményektıl kell függıvé tenni és a vizsgálóknak figyelembe kell venniük, hogy a gyakoriság összhangban van a kockázattal, az információ kritikusságával, a technológiai változásokkal és minden egyéb olyan faktorral, amely a szervezetre hatással lehet. A javasolt legkisebb gyakoriság hat hónap, de minden szervezetnek legalább évente kell szemléket levezetnie az IBIR szakaszainak megfelelıen. Értékelés: •


•



151


2.12.2.2. A mőszaki követelményeknek való megfelelés Vizsgálat tárgya: A mőszaki követelményeknek való megfelelés A vizsgált intézkedés célja: Az információrendszereket idırıl-idıre ellenırizni kell, hogy megfeleljenek a biztonsági elıírásoknak, szabványoknak. Vizsgálati szempontok: A vizsgálónak meg kell vizsgálnia, hogy: 1) A szervezet ellenırzi-e, hogy rendszerei megfelelnek-e a biztonsági szabványoknak. 2) Rendelkezik-e a megfelelıség ellenırzésére szolgáló tervvel, amely elıírja a teljesítendı követelményeket, az alkalmazandó gyakoriságot és módszereket. 3) Eszközök esetében melyek azok a képességek, amelyeket az aktuális helyzetben biztosítani kell - validálásra kerültek-e ezek valamilyen módon? 4) Az

egyes

személyek

által

végzett

ellenırzés

végrehajtásáról;

annak

teljes

megfelelıségérıl gyakran csak a valóban kompetens személyzet tud becsléssel szolgálni. Értékelés: •


•


2.12.3. Az informatikai rendszerek biztonsági ellenırzésének szempontjai Az ellenırzés célja: Maximalizálni a rendszert átvilágító auditálás hatékonyságát és minimalizálni az általa és/vagy benne okozott zavarokat. 2.12.3.1. Rendszerauditálási intézkedések Vizsgálat tárgya: Rendszerauditálási intézkedések A vizsgált intézkedés célja: Az üzemelı rendszer auditálását gondosan meg kell tervezni és egyeztetni kell, hogy ezzel minimalizáljuk az üzleti folyamatok megszakadásának

152


Az informatikai biztonság irányításának vizsgálata kockázatát. Vizsgálati szempontok: A vizsgálónak meg kell gyızıdnie a következı biztonsági szempontok megvalósításáról: 1) A rendszer tanúsítási ellenırzések és eszközök alkalmazása nem veszélyeztetheti az ellenırzendı információt vagy a mőveleteket. 2) A tanúsítás tervezése során ellenırizni kell, hogy megtörtént-e a menedzsment általi megfelelı felhatalmazás. 3) Semmilyen információ nem változhat meg e tevékenységek végrehajtása és információhoz való hozzáférés, vagy bármilyen más mővelet során. 4) Biztosítani kell, hogy az üzleti tevékenység megszakítása minimális legyen. 5) Biztosítani kell, hogy az elıállt tanúsítási eredmények és az eszközök használata megfelelıen rögzítésre kerüljenek. 6) Ellenırizni kell, hogy használatuk elıtt maguk az eszközök is elıírásos módon validálásra kerüljenek. Értékelés: •


•


2.12.3.2. Rendszerauditáló eszközök védelme Vizsgálat tárgya: Rendszerauditáló eszközök védelme A vizsgált intézkedés célja: A rendszerauditáló eszközökhöz való hozzáférést korlátozni kell, hogy bármely lehetséges visszaélést és veszélyeztetést kizárjunk. Ezek az eszközök teszik lehetıvé azon információkhoz vagy szabályokhoz való hozzáférést, amelyek révén az érzékeny információk olvashatók vagy megváltoztathatók. Rossz kezekben ezek az eszközök nagyon veszélyesek lehetnek és az alkalmazásuk feletti szigorú ellenırzés szükséges. Vizsgálati szempontok: 1) Lehetıség szerint az ilyen eszközöket az üzemi és a teszt rendszerektıl elkülönítve kell


153

Az informatikai biztonság irányításának vizsgálata tárolni. 2) Kérdés, hogy amennyiben az eszközök a rendszerekre telepítettek, elérésük milyen módon ellenırzött? 3) Az eszközök használatát leíró kézikönyveket szintén védeni kell, és biztosítani szükséges, hogy az eljárásokat csak megfelelıképpen minısített személyzet alkalmazhassa.

Értékelés: •


•


154



3. Az informatikai rendszer biztonságának vizsgálata (kockázatelemzés)

Bármilyen kockázatelemzési tevékenység megkezdése elıtt a szervezetnek stratégiával kell rendelkeznie az ilyen elemzésekhez és ennek összetevıit (eljárások, technikák stb.) dokumentálni kell az informatikai biztonságpolitikában. A kockázatelemzési eljárás eszközeit

és

kritériumait

kockázatelemzési

az

stratégiának

adott

szervezet

biztosítania

kell,

számára

kell

hogy

választott

a

megválasztani.

A

megközelítés

alkalmazható az adott környezetre és ott fókuszál a biztonsági erıfeszítésekre, ahol az valóban szükséges. Az alábbiakban négy különbözı kockázatmenedzsment megközelítést mutatunk be. Az alapvetı különbség ezek között a kockázatok elemzésének mélységében mutatkoznak meg. Mivel általában túl költséges egy részletes kockázatelemzést végezni minden informatikai rendszerre és nem is hatékony csak periférikus figyelmet fordítani a komolyabb kockázatokra, egyfajta egyensúlyt kell tartani a megközelítések között. Eltekintve a semmittevés lehetıségétıl és elfogadva azt, hogy jelentıs számú ismeretlen nagyságú és súlyosságú kockázatnak vagyunk kitéve, négy alapvetı megközelítés van a szervezeti kockázatelemzési stratégiák területén: a) Ugyanannak az alapszintő megközelítésnek a használata minden informatikai rendszerre, tekintet nélkül arra, hogy milyen kockázatoknak van kitéve a rendszer és elfogadjuk, hogy az adott szintő biztonság nem mindig megfelelı. b) Informális megközelítés használata kockázatok elemzésében és összegzésében olyan informatikai rendszerek esetében melyek nagy kockázatoknak vannak kitéve, c) Részletes kockázatelemzés vezetése, formális megközelítéssel az összes informatikai rendszerre, d) Egy

kezdeti,

magas

szintő

kockázatelemzés

kivitelezése,

annak

meghatározására, hogy mely informatikai rendszerek vannak kitéve magas kockázatnak és melyek kritikusak a szervezet mőködésére nézve, majd ezt


155

Az informatikai biztonság irányításának vizsgálata követıen egy részletes kockázatelemzés ezekre a rendszerekre, a többiekre pedig az alapszintő megközelítés használata. Ezeket a különbözı lehetıségeket ismertetjük az alábbiakban és javaslatokat fogalmazunk meg az ajánlott megközelítéssel kapcsolatban. Ha egy szervezet úgy dönt, hogy nem tesz semmit a biztonsággal kapcsolatban, vagy elhalasztja a biztosítékok alkalmazását, a vezetésnek tisztában kell lennie e döntés várható következményeivel. Míg ez nem igényel idıt, pénzt, személyzetet vagy egyéb erıforrásokat számos hátránnyal rendelkezik. Hacsak a szervezet nem biztos abban, hogy rendszerei nem kritikus jellegőek súlyos következményeknek teheti ki magát. Amennyiben a szervezet nincs összhangban a jogi és egyéb szabályozásokkal, a megbecsülése, hitelessége is sérülhet, ha áldozatává válik biztonsági eseményeknek és kiderül, hogy semmilyen védelmi intézkedést nem tett. Ha egy szervezetnek nagyon kevés informatikai biztonságot érintı célja van, vagy nincs kritikus informatikai rendszere, ez egy megvalósítható stratégia lehet. Az ilyen megközelítés esetében a szervezet nem rendelkezik megfelelı információval a tényleges biztonsági helyzetrıl, így ez a legtöbb esetben nem a jó megoldás. Alapszintő megközelítés Elsı választási lehetıségként egy szervezet alkalmazhat alapszintő biztonságot minden informatikai rendszerére a biztosítékok megfelelı megválasztásával. Elınye: a) csak minimális mennyiségő erıforrás szükséges a kockázatelemzéshez és kezeléshez az egyes biztosítékok alkalmazásakor és ezért kevesebb idı és erıfeszítés kell a biztosítékok kiválasztásához. b) Az alapszintő biztosítékok költséghatékony megoldást nyújthatnak, az azonos vagy hasonló alapszintő biztosítékokat lehet számos rendszerben alkalmazni különösebb erıfeszítés nélkül, ha a szervezet rendszerei hasonló körülmények között üzemelnek és amennyiben a biztonsági igények összemérhetık. Hátránya: a) ha az alapszint túl magasra lett beállítva, túlzott szintő biztonság alakul ki egyes rendszerekben,

156


Az informatikai biztonság irányításának vizsgálata b) ha az alapszint túl alacsony, akkor biztonsági hiányosságok alakulhatnak ki egyes rendszerekben és ez megnöveli a kockázatoknak való kitettséget, c) problémák jelentkezhetnek a biztonságot érintı változások kezelésében. Például, ha a rendszert frissítik, nehézkes lehet felmérni, hogy az eredeti alapszintő biztosítékok még mindig elegendıek. Ha egy szervezet minden informatikai rendszere csak egy alacsony biztonsági követelményekkel rendelkezik, az lehet a legköltséghatékonyabb stratégia. Ez esetben az alap szintet úgy kell megválasztani, hogy kifejezze az informatikai rendszerek többségének védelmi igényét. A szervezetek többsége mindig igényelni fog egy minimális védelmet érzékeny adatai számára és a jogi szabályozásnak való megfelelés érdekében: például adatvédelmi szabályok. Ahol a szervezet rendszereinek érzékenysége, mérete és összetettsége is változó nem logikus és nem is költséghatékony a közös alapszint alkalmazása minden rendszerre. Informális megközelítés Ez a megközelítés gyakorlatias kockázatelemzés vezetését jelenti. Az informális megközelítés nem strukturált módszereken alapul, de kihasználja a szakértık tudását és tapasztalatát. A 3.1. pontban bemutatott kockázatelemzési módszertan erre a megközelítésre ad gyakorlati megoldást. Elınye: a) Az informális megközelítés elınye, hogy általában nem igényel sok idıt és erıforrást, b) gyorsabban kivitelezhetı, mint a részletes elemzés. Hátránya: a) formális megközelítés és alapos ellenırzı listák nélkül megnı a fontos részletek kihagyásának valószínősége, b) a biztosítékok alkalmazásának kockázatokkal való indoklása ezen a módon nehézkes lehet, c) kevés megelızı gyakorlattal rendelkezı személyek a kockázatelemzés során kevés segítséget tudnak nyújtani,


157

Az informatikai biztonság irányításának vizsgálata d) a múltban néhány megközelítés sérülékenység alapú volt, azaz az alkalmazott biztosítékok az azonosított sérülékenységeken alapultak anélkül, hogy figyelembe vették volna, hogy van-e egyáltalán valószínősíthetı fenyegetés, amely kihasználhatja ezeket a sérülékenységeket, azaz szükség van-e egyáltalán ezekre a biztosítékokra, e) a szubjektivitás megjelenésének lehetısége, különösen az interjú készítıjének elıítéletei befolyásolhatják az eredményeket, f) problémák jelentkezhetnek, amennyiben az informális kockázatelemzést végzı személy elhagyja a szervezet. A fenti hátrányok alapján ez a megközelítés a legtöbb szervezet esetében nem tekinthetı hatékonynak.

158


Az informatikai biztonság irányításának vizsgálata Részletes kockázatelemzés A harmadik megközelítést az informatikai rendszerek mindegyikére vonatkozó részletes kockázatelemzés képezi. A részletes kockázatelemzés az értéket képezı eszközök mélységben történı azonosítását és értékelést valamint az ezekre irányuló fenyegetések felmérését és a sérülékenységek vizsgálatát jelenti. Ezen tevékenységek eredményeit a kockázatok elemzéséhez majd a megfelelı biztosítékok kiválasztásához használjuk. A 3.2. pontban bemutatott kockázatelemzési módszertan erre a megközelítésre ad gyakorlati megoldást. Elınye: a) valószínőleg minden informatikai rendszer számára megfelelı biztosítékok kerülnek azonosításra, b) a részletes elemzés eredményei felhasználhatók lesznek az informatikai változások kezelésében. Hátránya: a) jelentıs idıt és erıfeszítést, valamint szakértelmet igényel, b) fennáll a lehetısége annak, hogy a kritikus rendszerek biztonsági igényei túl késın kerülnek megállapításra, ezért minden informatikai rendszer hasonló részletességő és hosszú idejő vizsgálata szükséges a teljes elemzéshez. A fenti hátrányok miatt nem ajánlható a részletes kockázatelemzés alkalmazása minden informatikai rendszerre, ha ezt a megközelítést választjuk a következı lehetséges kivitelezési módok léteznek: a) egy standard megközelítés alkalmazása, amely kielégíti a követelményeket, b) egy standard megközelítés alkalmazása a szervezetnek megfelelı különbözı módokon kockázatmodellezı technikák alkalmazása elınyös lehet sok szervezet számára. Kombinált megközelítés A negyedik lehetıség elıször magas szintő kockázatelemzést kell végezni minden informatikai rendszerre, minden esetben az informatikai rendszerek szervezet számra jelentett értékére kell összpontosítani és a súlyos kockázatokra, melyeknek ki vannak téve. A szervezet számára fontosként azonosított és/vagy magas kockázatnak kitett informatikai rendszerek Magyar Informatikai Biztonság Irányítási Követelményrendszer

159

Az informatikai biztonság irányításának vizsgálata esetében részletes kockázatelemzésre van szükség a prioritási sorrend alapján. Minden egyéb informatikai rendszerre az alapszintő megközelítést kell alkalmazni. Ez a megközelítés az elızıek legjobb tulajdonságainak egyesítéseként egy jó egyensúlyt nyújt a biztosítékok azonosításához szükséges idı és erıforrások tekintetében, miközben biztosítja a magas kockázatnak kitett rendszerek megfelelı védelmét. További elınyök: a) a kezdeti gyors és egyszerő megközelítés nagy valószínőséggel megkönnyíti a kockázatelemzési program elfogadását, b) gyorsan fel lehet építeni a stratégiai összképet a szervezet biztonsági programjáról, azaz egy jó tervezési segítséget ad, c) a követı tevékenységek sokkal eredményesebbek lesznek. Az egyetlen lehetséges hátrány a következı: mivel a kezdeti kockázatelemzés magas szintő és esetleg kevésbé pontos néhány rendszer nem biztos, hogy a megfelelı szintő kockázatokkal lesz azonosítva. Ezek a rendszerek az alapszintő módszer szerint lesznek elemezve, bár a késıbbiekben újra lehet vizsgálni, az alapszintő megközelítés megfelelıségét. A magas szintő, részletes kockázatelemzési megközelítés egyesítve az alapszintő megközelítéssel, – amennyiben alkalmazható, akkor – a szervezetek többségének ajánlott, leghatékonyabb megoldást jelenti.

3.1. Informális kockázatelemzés (kockázatbecslés), kockázatkezelés VEZETİI ÖSSZEFOGLALÓ

Egy sikeres, egész szervezetet átfogó informatikai biztonsági program megvalósításának kulcsa a kritikus információvagyon pontos meghatározása és védelme, melyet egy alapos és teljes kockázatkezelési program tesz lehetıvé.

A hatékony kockázatkezelési folyamatok alkalmazásától függ egy szervezet azon képessége, hogy meg tudja oldani a kritikus infrastruktúrájával, költség-hatékony biztonságával és az üzemelés folyamatosságával kapcsolatban felmerülı aktuális problémáit. A kockázatkezelés

160


Az informatikai biztonság irányításának vizsgálata alapvetı vezetıi (menedzsment) feladat, nem szabad csupán az üzemeltetésért vagy a biztonságért felelıs alkalmazottak hatáskörébe tartozó technikai feladattá egyszerősíteni. Az informatikai infrastruktúráért általános felelısséggel tartozó vezetésnek (a szervezet általános vezetıinek vagy az informatikáért felelıs felsı vezetıknek) kell meghatároznia és biztosítania a hatékony, a szervezet minden részlegére kiterjedı kockázatkezelési program megvalósítását. A kockázatkezelés áttekintése (2. fejezet) Kockázat alatt egy sebezhetıség kihasználásának negatív hatását értjük, melyet az elıfordulás valószínősége és kihatása egyaránt befolyásol. A kockázatkezelés a következı három folyamat összessége: a kockázatbecslés, a kockázatok csökkentése, értékelés és felülvizsgálat. A kockázatkezelés végrehajtásának célja:

a

szervezet

információkat

tároló,

feldolgozó

vagy

továbbító

informatikai

rendszereinek biztonságosabbá tétele,

a vezetés megfelelı információkon alapuló kockázatkezelési döntéshozatalának megalapozása,

igazolandó

az

informatikai

költségvetés

részeként

felmerülı

kiadásokat,

a kockázatkezelés végrehajtásának eredményeként létrejövı dokumentációval a vezetés támogatása abban, hogy informatikai rendszereit engedélyeztessék (vagy akkreditálják).

A kockázatkezelés lehetıvé teszi, hogy az informatikai vezetık mérlegeljék a védelmi óvintézkedések üzemeltetési és gazdálkodási költségeit, és nyereséget érjenek el a szervezet feladatainak végrehajtásában azáltal, hogy megvédik a szervezet alapfeladatainak megvalósítását biztosító informatikai rendszereket és adatokat. A kockázatkezelés beillesztése a rendszerek életciklusába (2.2, 3.5, 4.6 alfejezetek)

A kockázatkezelés iteratív folyamat, és az életciklus minden szakasza tartalmaz megfelelı tevékenységeket. Egy informatikai rendszer életciklusa általában öt szakaszból áll: kezdeti, fejlesztési vagy beszerzési, megvalósítási, üzemeltetési vagy karbantartási és visszavonási szakasz. Az alábbi táblázat összefoglalja az életciklus egyes szakaszaihoz kapcsolódó kockázatkezelési tevékenységeket.


161


Életciklus szakasz 1. Kezdeti szakasz

A szakasz jellemzıi

2. Fejlesztési vagy beszerzési szakasz

Az informatikai rendszer tervezésének, megvásárlásának, programozásának, fejlesztésének vagy egyéb módon való létrehozásának szakasza.

Megfogalmazzák az informatikai rendszer szükségességét, dokumentálják a rendszer célját és hatáskörét.

3. E szakaszban a rendszer Megvalósítási biztonsági tulajdonságait kell szakasz beállítani, engedélyezni, tesztelni és ellenırizni.

4. Üzemeltetési vagy karbantartási szakasz

A rendszer üzemel. Általában a rendszer folyamatosan módosul további hardver és szoftver hozzáadásával, és a szervezeti folyamatok, politikák és eljárások módosulása révén.

5. Visszavonási szakasz

Információ, hardver és szoftver visszavonása. Ide tartoznak: információ átmozgatása, archiválása, leselejtezése vagy megsemmisítése és a hardver, szoftver törlése.

162

A kockázatkezelési tevékenységek által nyújtott támogatás Az itt meghatározott kockázatokat a rendszerrel szemben támasztott követelmények kialakításához használják, beleértve a biztonsági követelményeket és a mőködtetés biztonsági koncepcióját (stratégiát). Az itt azonosított kockázatok az informatikai rendszer biztonsági elemzéséhez használhatók fel, mely elemzések eredményeként szerkezeti és tervezési változtatásokra lehet szükség a rendszer fejlesztése során. A kockázatkezelési folyamat támogatja annak felmérését, hogy a rendszer megvalósítása mennyire felel meg a rendszerrel szemben támasztott követelményeknek a modellezett üzemeltetési környezetben. Az azonosított kockázatokkal kapcsolatos döntéseket a rendszer üzembe állítása elıtt kell meghozni. Kockázatkezelési tevékenységekre az idıszakos rendszer újraengedélyezés (ismételt akkreditáció) érdekében kerül sorol, vagy pedig akkor, amikor lényeges változások történnek az informatikai rendszer üzemeltetési, gyártási környezetében (pl. új rendszerinterfészek megjelenése). A kockázatkezelési tevékenységek a visszavonandó vagy lecserélendı rendszerelemekre történnek, a hardver és szoftver visszavonás, illetve a maradványadatok kezelésének megfelelısége, valamint a rendszer migráció biztonságos és módszeres végrehajtása érdekében.


Az informatikai biztonság irányításának vizsgálata Kockázatbecslés (3. fejezet) A kockázatkezelési módszertan a kockázatbecslési folyamattal kezdıdik. A szervezetek a kockázatbecslést arra használják, hogy meghatározzák egy informatikai rendszerhez kapcsolódó potenciális veszély és a kockázat mértékét a rendszer életciklusa során. A kockázatbecslés eredménye segít abban, hogy a kockázatcsökkentés végrehajtásakor megtaláljuk a kockázat csökkentését vagy teljes kiküszöbölését szolgáló megfelelı óvintézkedéseket. A kockázat annak a valószínőségnek a függvénye, hogy egy

adott

veszélyforrás kihasznál egy lehetséges sebezhetıséget, illetve annak a kihatásnak, melyet ez a negatív esemény gyakorol a szervezetre. Egy jövıbeli kártékony esemény valószínőségének meghatározásához elemezni kell az informatikai rendszert fenyegetı veszélyeket, a lehetséges sebezhetıségekkel és az informatikai rendszerbe épített óvintézkedésekkel együtt. A kihatás egy sebezhetıség kihasználása által okozott kár nagyságát jelenti. A kockázatbecslés az alábbi 9 lépésbıl áll: 1. lépés - A rendszer leírása Az elsı lépés a kockázati szempontból jelentıséggel bíró rendszer hatókörének a meghatározása, beleértve a vizsgált rendszer határait, s minden érintett információt, erıforrást. Ezek magukban foglalnak hardver és szoftver komponenseket, belsı és külsı rendszerinterfészeket, a rendszer által felhasznált vagy elıállított adatot és információt, az alkalmazottak tevékenységét, a felhasználói interfészeket, a végrehajtott folyamatokat, a rendszer, illetve rendszeradatok kritikusságát és érzékenységét. 2. lépés – A veszélyek meghatározása Egy veszély az a lehetıség, hogy egy adott veszélyforrás (veszélyokozó egyed) sikeresen kihasznál egy sebezhetıséget. A sebezhetıség olyan gyengeség, melyet véletlenül vált ki valami vagy valaki, illetve szándékosan visszaélnek meglétével. Egy veszélyforrás nem jelent kockázatot kihasználható sebezhetıség nemléte esetén. Egy veszély valószínőségének a meghatározásakor tekintetbe kell venni a veszélyforrásokat, a potenciális sebezhetıségeket és a létezı óvintézkedéseket. E lépés célja a lehetséges veszélyforrások azonosítása, és a vizsgált informatikai rendszer potenciális veszélyforrásairól egy lista összeállítása. 3. lépés – A sebezhetıségek elemzése Az informatikai rendszerre veszélyes tényezık elemzésének tartalmaznia kell a rendszer környezethez kapcsolódó sebezhetıségek elemzését is. E lépés célja egy olyan lista Magyar Informatikai Biztonság Irányítási Követelményrendszer

163

Az informatikai biztonság irányításának vizsgálata elkészítése, mely a lehetséges veszélyforrás által kihasználható sebezhetıségi pontokat (hibákat vagy gyengeségeket) győjti össze. 4. lépés – Az óvintézkedések elemzése E lépés célja azon megvalósított vagy tervezetett óvintézkedések elemzése, melyek egy adott sebezhetıség esetén, egy veszély bekövetkezési valószínőségét igyekeznek minimalizálni. Az elemzés eredménye hatással van a következı lépésben meghatározott összegzett valószínőségre. 5. lépés – A valószínőségek meghatározása Az összegzett valószínőségi osztályzatok (mely egy-egy potenciális sebezhetıség kihasználhatóságát jelzi a kapcsolódó veszély-környezetben) megállapítása, az alábbi befolyásoló tényezık figyelembe vételével: A veszélyforrás motivációja és képességei, a sebezhetıség jellege, a jelenlegi óvintézkedések megléte és hatékonysága. Egy sebezhetıség kihasználásának esélyét három valószínőségi szint valamelyikébe soroljuk: magas, közepes, alacsony. 6. lépés – Hatáselemzés E lépés célja egy sebezhetıség kihasználása esetén mérhetı káros hatás meghatározása. Egy biztonsági esemény káros hatása leírható a bizalmasság, a sértetlenség, a rendelkezésre állás az elszámoltathatóság és a garancia biztonsági célok egyikének, vagy ezek bármely kombinációjának elvesztésével vagy jelentıs csökkenésével. Egy sebezhetıség valamilyen kihatását az alábbi osztályok egyikébe soroljuk: kritikus, súlyos, mérsékelt, kis mértékő. 7. lépés – A kockázati szint meghatározása A lépés célja az informatikai rendszer kockázati szintjének felmérése. A kockázatok meghatározása egy adott veszély-sebezhetıség párra kifejezhetı az alábbiak függvényeként: az a valószínőség, hogy egy adott veszélyforrás megpróbál visszaélni egy sebezhetıséggel, a következmény nagysága, amennyiben egy veszélyforrás sikeresen visszaél a sebezhetıséggel, a tervezett vagy meglévı biztonsági óvintézkedések alkalmassága a kockázat csökkentésére vagy kiküszöbölésére. Egy adott veszély-sebezhetıség párra meghatározott kockázat lehetséges értékei: alacsony, mérsékelt, magas, kritikus. Az informatikai rendszer kockázati szintje a veszély-sebezhetıség párokra meghatározott legsúlyosabb kockázat lesz. 164



8. lépés – Javaslat óvintézkedésekre E lépésben azokat az óvintézkedéseket veszik számba, melyek csökkentik vagy megszüntetik az azonosított kockázatokat. A javasolt óvintézkedések célja, hogy elfogadható szintre csökkentsék az informatikai rendszert és annak adatait veszélyeztetı kockázat szintjét. A javasolt óvintézkedések és alternatív megoldások kiválasztásánál az alábbi szempontokat tanácsos figyelembe venni: az ajánlott lehetıségek hatékonysága (pl. rendszer kompatibilitás), törvények és szabályozások, szervezeti szabályzatok, mőködtetési kihatások, biztonság és megbízhatóság. 9. lépés – Az eredmények dokumentálása A kockázatbecslés befejezése után az eredményeket dokumentálni kell egy hivatalos jelentésben vagy összefoglalóban. A kockázatbecslésrıl szóló jelentés olyan vezetıi tájékoztató, amely a szervezet felsı vezetését segíti a biztonsági szabályzatokkal, az eljárási, költségvetési, rendszerüzemeltetési és irányítási változtatásokkal kapcsolatos döntéseik meghozatalában. A átvilágítási vagy átvizsgálási jelentéssel szemben, amelyek a szervezetben zajló negatív jellegő tevékenységeket kutatják, a kockázatbecslés eredményeit összefoglaló jelentés nem vádjegyzıkönyv, hanem módszeres és elemzı megközelítése a kockázatok felmérésének, hogy a felsı vezetés megértse a kockázatokat és erıforrásokat biztosítson a lehetséges veszteségek csökkentése vagy a veszteség utáni helyreállítás érdekében.

A kockázatok csökkentése (4. fejezet) A

kockázatok

csökkentése

a

kockázatbecslés

során

ajánlott

kockázat-csökkentı

óvintézkedések rangsorolását, értékelését és megvalósítását jelenti. Mivel az összes kockázat kiküszöbölése általában nem praktikus vagy szinte lehetetlen, ezért a felsı vezetés, valamint az üzleti és a szakterületi vezetık felelıssége a legmegfelelıbb óvintézkedések megvalósítása a szervezet alapfeladatát érintı kockázatok elfogadható szintre csökkentése céljából, úgy, hogy eközben a szervezet erıforrásaira és feladataira a lehetı legkisebb kedvezıtlen következmények háruljanak (költség-hatékony kockázatkezelés). A kockázatok csökkentése a felsı vezetés által használt módszeres eljárás a szervezet feladatait veszélyeztetı kockázatok csökkentése céljából. Alacsonyabb kockázati szint érhetı el az alábbi kockázatcsökkentési lehetıségek bármelyikével:


165

Az informatikai biztonság irányításának vizsgálata A kockázat felvállalása A lehetséges kockázat elfogadása és az informatikai rendszer mőködtetésének folytatása, vagy óvintézkedések foganatosítása a kockázat elfogadható szintre csökkentéséhez.

A kockázat elkerülése A kockázat elkerülése az okok és/vagy a következmények kiküszöbölésével (például a rendszer bizonyos funkcióinak használatáról való lemondás vagy a rendszer teljes lezárása kockázatok azonosítása esetén).

A kockázat bekövetkezésének korlátozása A kockázat bekövetkeztének korlátozása olyan óvintézkedések megvalósításával, melyek minimalizálják azt a káros hatást, mely egy sebezhetıség kihasználásával jár (például megelızı, korlátozó és észlelı óvintézkedések).

Kockázat tervezés A kockázatok kezelése kockázatcsökkentési terv kialakításával, amely rangsorolja, megvalósítja és életben tartja az óvintézkedéseket.

Kutatás és beismerés A kockázat csökkentése a sebezhetıség vagy hiba meglétének beismerésével, és megoldások keresése a sebezhetıség kijavítására.

Kockázat átvitel A kockázat átvitele a károk ellensúlyozását biztosító egyéb lehetıségek körébe (például biztosítás kötés).

Költség-haszon elemzés és maradványkockázat (4.4 és 4.5 alfejezetek) A javasolt új vagy javított óvintézkedések költség-haszon elemzése az alábbiakat foglalja magába: • az új vagy javított óvintézkedések hatásának meghatározása, • az új vagy javított óvintézkedések elmulasztásából eredı következmények meghatározása,

166


Az informatikai biztonság irányításának vizsgálata • a megvalósítás költségeinek becslése, mely többek között a következıket tartalmazza: hardver és szoftver vásárlás; csökkentett mőködési hatékonyság, ha a rendszer teljesítménye vagy funkcionalitása a fokozottabb biztonság érdekében csorbát szenved; kiegészítı szabályzatok és eljárások megvalósítási költségei; a javaslatoknak megfelelı

új

alkalmazottak bérköltségei; oktatási

költségek;

karbantartási költségek, • A megvalósítás költségeinek és hasznának felmérése a rendszer és az adatok kritikusságának tükrében, meghatározandó az új óvintézkedések bevezetésének fontosságát azok költségének és relatív kihatásának függvényében.

A szervezetek megvizsgálhatják, hogy az új vagy javított óvintézkedések következtében milyen mértékben csökkent a kockázati szint az ezt meghatározó két paraméter (a veszélyek kisebb bekövetkezési valószínősége, illetve a veszélyek következménye) szempontjából. Az új vagy javított óvintézkedések megvalósítása után maradt kockázat a maradványkockázat. Gyakorlatilag nincs kockázatmentes informatikai rendszer, és nem minden megvalósított óvintézkedés képes kivédeni vagy nulla kockázati szintre vinni azt a kockázatot, melynek kiküszöbölése elvárható tıle. Amennyiben a maradványkockázat nem csökken le egy elfogadható szintre, a kockázatkezelés ciklikus folyamatát meg kell ismételni, mindaddig, amíg nem találunk valamilyen módszert a maradványkockázat kellı csökkentésére. Amennyiben az informatikai infrastruktúráért felelıs vezetı úgy értékeli, hogy a kockázat meglévı szintje elfogadható, alá kell írnia egy nyilatkozatot, mely kimondja, hogy a rendszer teljes üzembe helyezésének engedélyezését vagy akkreditációját megelızıen elfogadják a maradványkockázat szintjét.

Értékelés és felülvizsgálat (5. fejezet) A kockázatelemzés eredménye csupán a kezdete egy folyamatnak, melynek célja, hogy csökkenjenek egy informatikai biztonsági esemény által okozott, a szervezet feladatait érintı negatív következmények. A legtöbb informatikai rendszer, és környezete folyamatosan változik. Új kockázatok jelennek meg, a korábbi kockázatbecslések érvényüket veszthetik. Ezért a kockázatkezelés folyamatosan jelen lévı, fejlıdı kérdéskör. Szükség van elıre ütemezett, rendszeres felülvizsgálatra, jelentıs változások pedig azonnali elemzést, értékelést is igényelhetnek.


167

Az informatikai biztonság irányításának vizsgálata Szükség van idıszakos újraértékelésre a rendszerbiztonság állásának pontos feltérképezéséhez is. Az eredmények ismeretében akár a szervezet biztonságpolitikáját is módosítani kell. A sikeres kockázatkezelés elemei Egy sikeres kockázatkezelés az alábbi elemeken múlik: •

a felsı vezetés elkötelezettsége a szükséges erıforrások és idı biztosításához;

•

az informatikai csoport teljes támogatása és részvétele;

•

a kockázatkezelést végzı csapat hozzáértése;

•

a felhasználói közösség tagjainak tudatos magatartása és együttmőködése;

•

az informatikával kapcsolatos üzleti kockázatok folyamatos értékelése és elemzése.

168


Az informatikai biztonság irányításának vizsgálata BEVEZETÉS

Jelen módszertani útmutató kidolgozásakor a NIST alábbi nyilvános kiadványaiban szereplı fogalmakra, általános elvekre, szemléletmódra és gyakorlati megközelítésekre építettünk:

NIST Special Publication 800-12, An Introduction to Computer Security:The NIST Handbook. 1995 NIST Special Publication 800-14, Generally Accepted Principles and Practices for Securing Information Technology Systems. 1996 NIST Special Publication 800-18, Guide for Developing Security Plans for Information Technology Systems. 1998 NIST Special Publication 800-27, Engineering Principles for IT Security. 2001 NIST Special Publication 800-30, Risk Management Guide. 2001 ISO/IEC 27001:2005 Information technology – Security techniques – Information security management systems – Requirements ISO/IEC 27002:2005 Information technology – Security techniques – Code of practice for information security management

1.1 A kockázatkezelés fogalma és célja Az információ feldolgozása, az információtechnológia egyre szervesebb részét képezik egy szervezetet feladatainak, az értékkel bíró, megvédendı vagyonnak, ezért szükségessé válik a szervezetek számára, hogy jól kialakított informatika biztonsági programmal rendelkezzenek. Ennek elıfeltétele a hatékony kockázatbecslési folyamat, de a tágabb értelmezéső kockázatkezelés is nélkülözhetetlen. A kockázatkezelés meghatározása (NIST SP 800-30): Az információs rendszerekkel kapcsolatos kockázatok meghatározásának, ellenırzésének és csökkentésének teljes folyamata. Magába foglalja a kockázatok felmérését (kockázatbecslés), a költség-haszon elemzést, a biztonsági óvintézkedések kiválasztását, megvalósítását, tesztelését és biztonsági értékelését. Figyelembe veszi a hatékonyságot és hatásosságot, beleértve a szervezet


169

Az informatikai biztonság irányításának vizsgálata feladataira való kihatásokat és a (biztonság)politika, (biztonsági) szabályozás és törvények miatti korlátozásokat. A kockázatkezelés meghatározása (ISO/IEC 27002): Az információs rendszereket érintı biztonsági

kockázatok

elfogadható

áron

való

meghatározásának,

kezelésének,

minimalizálásának vagy kiküszöbölésének folyamata.

A kockázatkezelés alapcélja, hogy a szervezet egészét védje, ne csak az informatikai értékeket. A szervezet feladatáért felelıs személyeknek fontos vezetıi-irányítói feladatként kell a kockázatkezelésre tekinteni.

1.2 Jelen módszertani útmutató célja és hatóköre

Jelen dokumentum az informatika biztonsági szolgáltatások nyújtásában résztvevı szakembereinek kíván segítséget nyújtani egységes értelmezéssel és szakszerő, tényeken és a legkorszerőbb módszereken alapuló feladatmegoldásokkal, hozzájárulva az informatikai értékelési és szaktanácsadási munkák objektivitásához, megismételhetıségéhez. A fentieken túl jelen dokumentum gyakorlati útmutató is kíván lenni azon szakértık számára, akik informatika biztonsági kockázatok becslésével, kezelésével kapcsolatos feladatokat végeznek.

Az ISO/IEC 27001 által felvázolt modell az információ biztonság menedzselésére az alábbi 6 lépésbıl áll: Biztonsági politika meghatározása Az informatikai rendszer hatókörének meghatározása Kockázatbecslés végrehajtása (veszélyek, sebezhetıségek, hatásuk) Kockázatkezelés (a megközelítésmód kiválasztása, az igényelt garancia szint meghatározása) Az óvintézkedések (ellenintézkedések) céljainak, illetve maguknak a megvalósítandó óvintézkedéseknek a kiválasztása Az alkalmazhatóságra vonatkozó állítások megfogalmazása

170



Ez az útmutató alapvetıen a 3.-5. lépéseket részletezi, de a többivel is számos ponton érintkezik. Az útmutató alapján a kockázatbecslést, kockázatkezelést végzı szakemberek számára lehetséges lesz különféle kockázatokat meghatározni, a kompromisszumok mértékét megállapítani, és a kockázatokat csökkentı lehetıségeket számba venni. Az útmutatóban összegyőjtött ismeretek a kockázatbecslést, kockázatkezelést megrendelı vezetıket is segíti abban, hogy valós információn alapuló döntéseket hozhassanak, egyben az informatika biztonsági költségeket indokolni tudják.

1.3 A módszertani útmutató felépítése

Jelen útmutató (a kockázatkezelés 2. fejezetbeli áttekintése után) a kockázatkezelési folyamatnak megfelelıen három részre tagolódik:

a kockázatbecslés végrehajtására (3 fejezet),

a kockázatok csökkentésére (4. fejezet),

az elért eredmények értékelésére, felülvizsgálatára (5. fejezet).


171

Az informatikai biztonság irányításának vizsgálata 2. A KOCKÁZATKEZELÉS ÁTTEKINTÉSE

2.1 A kockázatkezelés fontossága

Kockázatkezelésen azt a folyamatot értjük, mely lehetıvé teszi a vezetıknek, hogy mérlegeljék a biztonsági óvintézkedések mőködtetési és gazdálkodási költségeit és az üzleti feladatok hatékonyságában megmutatkozó elınyöket. A folyamat természetesen nem csak az informatikai környezetben értelmezett. A szervezet feladataiért felelısöknek és a vezetıknek az általuk üzemeltetett informatikai rendszerekben tárolt, feldolgozott és továbbított üzleti információt érintı védelmi óvintézkedések költségét a feladatukat érintı kockázatok tükrében kell megvizsgálni.

2.2 A kockázatkezelés beépítése a rendszerek életciklusába

A szervezet feladatait minél kisebb kockázatnak akarjuk kitenni. A kockázatkezelés elsı eleme a kockázatbecslés kezdıdjön a legelején, íveljen át az egész rendszer fejlesztési életciklusán! Az életciklus megfelelı szakaszára a dokumentum több részén is hivatkozunk majd. Az öt életciklus szakasz az alábbi:

Kezdeti szakasz Megfogalmazzák a rendszerre való igényt, dokumentálják a rendszer célját.

Fejlesztési vagy beszerzési szakasz A rendszer tervezése, megvásárlása, programozása, fejlesztése, egyéb módon történı kialakítása. (további alszakaszokra bontható, mint fejlesztési ciklus, beszerzési ciklus,…)

Megvalósítási szakasz A rendszer tesztelése, telepítése, összeállítása, helyszíni konfigurálása.

Üzemeltetési vagy karbantartási szakasz 172


Az informatikai biztonság irányításának vizsgálata A rendszer üzemel. Folyamatosan új hardver-, szoftverelemek beillesztése történhet, új szabályozások, eljárások, feladatok merülnek fel.

Visszavonási szakasz Információ, hardver-, szoftverkomponensek visszavonása, törlése, megsemmisítése.

2.3 Fontosabb szerepkörök A kockázatkezelési folyamatban az alábbi funkciókat betöltı személyeknek van fontos szerepük: A szervezet felsı vezetése İk döntenek a költségekrıl, az elfogadható maradványkockázatokról. Látniuk kell, hogy a befektetett biztonsági költség megtérül.

Projektfelelıs İ határozza meg, mik alkotják az elfogadható kockázatot és milyen kompromisszumok árán lehet az adott korlátozásokon belül a feladatok hatékonyságát maximalizálni. Fontos, hogy értse a kockázatkezelés folyamatát.

Az informatikai rendszer tulajdonosa A rendszerben tett változtatásokért felelıs. Értenie kell, hogy a kockázatkezelés a teljes rendszer hatékonyság tekintetében milyen szerepet tölt be.

Informatika biztonsági tisztviselık A rendszer informatikai (hardver-, szoftver- és adat-) biztonságáért felelısek. Kiválasztják a megfelelı óvintézkedéseket, elemzik azok képességeit, szolgáltatásait (gyártókkal egyeztetnek). Szervezik a személyzet képzését, hogy azok tisztában legyenek a biztonsági követelményekkel, a rendszer és adatok védelméhez szükséges magatartással.

Rendszeradminisztrátorok


173

Az informatikai biztonság irányításának vizsgálata Új komponensek rendszerhez adásakor, meglévık átkonfigurálásakor ık végzik a megfelelı feladatokat. A változások gyakran érintik a rendszer- és adatbiztonságot, ezért tudatában kell lenniük, hogy a módosításoknak milyen kihatásuk van.

Végfelhasználók A szervezet alkalmazottai. Be kell tartaniuk az elıírt útmutatásokat és szabályokat, a szervezet “missziója”, alapfeladatainak védelme érdekében. Meg kell érteniük a lehetséges kockázatokat és azok szerepét a kockázatkezelési folyamatban.

174


Az informatikai biztonság irányításának vizsgálata 3. KOCKÁZATBECSLÉS

A kockázatkezelés sarkköve a kockázatok felmérése, becslése, mely folyamat során a szervezet meghatározza egy adott rendszerre annak egész élettartamára vonatkozóan a kockázat szintjét. E folyamat eredménye a maradványkockázat és az a döntés, vajon ez elfogadható-e, vagy további biztonsági óvintézkedéseket kell megvalósítani a kockázat további csökkentésére.

A kockázat függvénye annak a valószínőségnek, hogy egy biztonsági esemény bekövetkezik, valamint annak a kihatásnak, melyet ez az esemény okoz a szervezet feladatainak megvalósítására. A valószínőség meghatározására a rendszert fenyegetı veszélyeket elemezzük a meglévı sebezhetıségekkel összefüggésben. A kihatást az határozza meg, hogy milyen következményeket jelent a szervezet feladatait illetıen. Az 1. ábra ezt a módszert mutatja be.

A veszélyes tényezık feltárása (3.2)

Sikeres támadás valószínősége

maradvány - kockázat

2.-5. A rendszer leírása (3.1 alfejezet

A kockázati szint meghatározása (3.4)

1. lépés

7. Hatáselemzés Hatások

(3.3

6.

Dokumentálás, javaslatok megfogalmazása

8.-9.

1. ábra A kockázatbecslés módszertana

A kockázatbecslés 9 lépésbıl áll, melyet a fejezet hátralévı részeiben részletesebben kifejtünk. Magyar Informatikai Biztonság Irányítási Követelményrendszer

175

Az informatikai biztonság irányításának vizsgálata 1. lépés - A rendszer leírása

Cél: A kockázatbecslési munka hatáskörének kijelölése, a kockázatok meghatározásához szükséges információ meghatározása. A rendszer leírása során meghatározzuk a rendszer határait, valamint a rendszert alkotó erıforrásokat, adatokat. Az értékek osztályozása általában a következı:

információ infrastruktúra hardver és szoftver adatok és információ emberek rendszer interfészek és kapcsolatok

A rendszerrıl és adatokról győjtendı további információ: a szervezet feladatai a rendszer által megvalósított folyamatok a rendszer funkcionális követelményei a rendszer felhasználói a rendszerre vonatkozó minden biztonsági szabályzat (törvények, hazai és szervezeti jogszabályok) a rendszer biztonsági architektúrája a rendszer mőködési környezete a rendszernek otthont adó épületek a rendszerre vonatkozó információtárolási követelmények a rendszer információáramlási folyamatai

Meglévı rendszernél a létezı formájukban győjtjük a rendszerre vonatkozó adatokat, fejlesztés alatt álló rendszernél elemzésre van szükség a jövendı rendszert érintı kulcsfontosságú biztonsági szabályok és jellemzık meghatározása végett.

A rendszerleírás tartalmazza a feltételezéseket, valamint a leíráshoz használt minden forrást. Hiányos vagy teljesen hiányzó témáknál feltételezéseket kell tenni, például, hogy valamely biztonsági elemet az alapul szolgáló infrastruktúra ad, illetve ezek a feltevések a rendszer jövıjére is vonatkozhatnak. 176


Az informatikai biztonság irányításának vizsgálata A veszélytényezık feltárása

Egy veszély két tényezıje a veszélyforrás és a sebezhetıség.

A veszély egy veszélyforrás lehetısége arra, hogy valamely sebezhetıséget kiváltson (véletlenül aktivizáljon vagy szándékosan kihasználjon).

A sebezhetıség olyan gyenge pont, melyet véletlenül aktivizálhat valaki, vagy szándékosan kihasználhat a rendszer elleni támadáskor.

A veszélyt annak a valószínőségnek a függvényeként fejezzük ki, hogy egy veszélyforrás sikeresen kihasznál egy adott sebezhetıséget. Kihasználható sebezhetıség nélkül egy veszélyforrás nem jelent kockázatot. A valószínőség meghatározásakor a veszélyforrásokon és a sebezhetıségeken kívül figyelembe kell venni a meglévı óvintézkedéseket is, melyek a sebezhetıség

aktivizálását,

szándékos

kihasználását

hivatottak

megakadályozni,

megnehezíteni.

2. lépés - A veszélyforrások meghatározása E lépésben a cél a lehetséges emberi, természeti és környezeti veszélyforrások feltérképezése. Veszélyforrás az alábbiak valamelyike: szándék és módszer, mely egy sebezhetıség szándékos kihasználására irányul, helyzet és módszer, mely véletlenül válthatja ki a sebezhetıséget.

Általános veszélyforrások az alábbiak: emberi /emberek által lehetıvé tett vagy okozott nem szándékos (gondatlan adatbevitel) vagy szándékos események (hálózati támadás, kártékony szoftver rendszerbe juttatása, bizalmas adatokhoz jogosulatlan hozzáférés)/, természeti /pl.: árvíz, földrengés, tornádó, földcsuszamlás, lavina, elektromos viharok, stb./, környezeti

/pl.:

hosszan

tartó

áramkimaradás,

szennyezıdések,

vegyszerek,

folyadékszivárgás, stb./.


177

Az informatikai biztonság irányításának vizsgálata Fontos a természeti és környezeti veszélyforrások azonosítása is az emberi fenyegetések mellett. Az elsı kettı nagyban függ a rendszer üzemelési helyétıl.

Az emberi veszélyek lehetnek szándékosak vagy véletlenek. A szándékos lehet: rosszindulatú támadás a rendszer sértetlensége, bizalmassága, rendelkezésre állása ellen, jóindulatú, de ettıl még célratörı kísérlet a biztonság csökkentésére (pl. “jelszó nélkül gyorsabb… ”).

Az ember akkor igazi veszélyforrás, ha van motivációja, és elegendı erıforrás áll rendelkezésére a támadáshoz. Az 1. táblázat támadók típusait sorolja fel. Az, hogy egy támadót érdekli-e egy adott rendszer, számtalan tényezıtıl függ. A rendszerleírás segít ezek meghatározásában. A lehetséges támadók meghatározása után meg kell becsülni az egy támadáshoz szükséges erıforrások mennyiségét és a képességeket. (Például külsı kapcsolat a rendszerhez automatizált eszközök használatával, vagy belsı információk a sebezhetıségi pontokról, ..)

Emberi veszélyforrás

Motiváció

Eszközök

hacker, cracker

túlzott “énkép” kihívás lázadás illegális felfedés módosítás anyagi haszon Zsarolás Kihasználás Pusztítás minısített információk egyéb kormányérdekek Hírszerzés Bosszú túlzott “énkép” anyagi érdek

rendszer betörés jogosulatlan rendszerhozzáférés

bőnözı

terrorista

külföldi érdek belsı személy (elégedetlen, hanyag vagy tisztességtelen alkalmazott)

bőntény/betörés csalás alkalmazása rendszer támadás/betörés

Betörés, behatolás betörés, visszaélés a számítógép használattal, jogosulatlan rendszerhozzáférés

1. táblázat Emberi veszélyek Számos ismert veszélyrıl kaphatunk információt nyilvánosan elérhetı forrásokból. Terjednek a behatolás érzékelı rendszerek, különbözı szervezetek egyre több adatot győjtenek össze a biztonsági eseményekrıl. Néhány hasznos forrás: 178


Az informatikai biztonság irányításának vizsgálata securityfocus.com, securitywatch.com, securityportal.com, SANS.org Ffedcirc A természeti veszélyekrıl szóló információknak általában azonnal hozzáférhetınek kell lenni. A lehetséges veszélyforrásokat az adott szervezetre kell meghatározni.

Ennek a lépésnek (a veszélyek meghatározása) az eredménye a lehetséges veszélyforrások listája az értékelés alatt álló rendszerre.

3. lépés - A sebezhetıségek meghatározása Ennek a lépésnek a célja azon sebezhetıségek listájának megállapítása, melyeket a lehetséges veszélyforrások fenyegetnek, támadók kihasználhatnak.

A sebezhetıség hiba vagy gyenge pont a rendszer biztonsági eljárásaiban, tervezésében, megvalósításában, belsı vezérlıiben, stb., melyeket (véletlenül vagy szándékosan) ki lehet használni, és ez a rendszer biztonsági politikájának megsértéséhez vezet.

A sebezhetıségeket rendszerezetten, technikai és nem technikai csoportokra bontva kell felsorolni. Ezt a munkát különbözı tanulmányok, az alkalmazottakkal folytatott beszélgetések, hálózatellenırzı eszközök, rendszer és szervezeti dokumentációk segítik. Ipari források, pl. hibalistákat tartalmazó web-oldalak is segítségünkre lehetnek.

Ha a rendszer még tervezés elıtt áll, akkor a sebezhetıségek keresése a szabályzatokra, eljárásokra és rendszerkövetelményekre koncentrál. Ha a rendszer megvalósítási szakaszban van, akkor specifikusabb információkra, pl. tervezési dokumentációra is kiterjed a sebezhetıségi elemzés. Amennyiben a rendszer üzemel, akkor azt elemezzük, hogy elfogadhatóak és hatékonyak-e a kockázatok csökkentését hivatott óvintézkedések.


179

Az informatikai biztonság irányításának vizsgálata Módszerek a sebezhetıségi információk győjtéséhez: automatizált sebezhetıségi vizsgálat, a hálózat feltérképezése (a hálózati architektúra, a kapcsolódó rendszerek azonosítása), biztonsági tesztelés és értékelés, behatolás tesztelés.

Az Interneten is rengeteg információt találunk, korábbi sebezhetıségi elemzéseket kutathatunk fel. További források: biztonsági felülvizsgálatok eredményei, rendszertesztek és értékelések jelentései icat.nist.gov/icat.taf, FedCIRC és CIAC hirdetık, gyártók ajánlásai, rendszerszoftver biztonsági elemzések, rendszer anomáliákról szóló jelentések.

A sebezhetıségek elemzése kísérletet tesz az összes hiba és gyengeség feltárására, megjelölve azokat, amelyekkel foglalkozni kell, és azokat is, amelyekkel valószínőleg nem. Ez utóbbiak közé tartoznak az olyan hibák, melyek alacsony szintő veszélyforrás-érdeklıdéssel, illetve képességgel járnak, vagy hatékony biztonsági óvintézkedés van ellenük, esetleg mindkét eset fennáll.

4. lépés - Az óvintézkedések elemzése E lépésben a szervezet megállapítja, hogy a rendszer leírása (1. lépés) alatt összegyőjtött biztonsági követelményeket kielégítik-e a meglévı vagy tervezett biztonsági funkciók. A követelményeket általában mátrix formában jelenítik meg, mely tartalmazza, hogy a rendszer szerkezete vagy megvalósítása megfelel, vagy nem felel meg az adott biztonsági követelménynek. A biztonsági módszerek, eszközök, óvintézkedések a következı források alapján határozhatók meg: biztonsági szabályzatok és útmutatók, rendszer üzemeltetési eljárások, rendszerbiztonsági specifikáció, ipari szabványok és gyakorlatok (ajánlások).

180


Az informatikai biztonság irányításának vizsgálata Sok szervezet kategorizálja a biztonsági óvintézkedéseket, melyek egy része észlelı (detektáló), míg más részük megelızı jellegő. Technikai óvintézkedések: hardverbe, szoftverbe vagy förmverbe épített biztonsági védelem. A 2. táblázat ezekre ad példákat.

Megelızı • • • • •

Észlelı (detektáló)

hozzáférés ellenırzési mechanizmusok • naplók vírusirtó programok • behatolás érzékelı rendszerek azonosítási és hitelesítési eljárások tőzfalak rejtjelezés 2. táblázat: példák technikai óvintézkedésekre

Üzemeltetési óvintézkedések: azok az üzemeltetési eljárások és személyi, fizikai biztonsági óvintézkedések, melyek az erıforrásokat elfogadható szinten védik. Lásd 3. táblázatot. Megelızı • • •


biztonság tudatosítása és képzés • biztonsági vizsgálatok katasztrófából helyreállítás, rendkívüli események naplózások kezelése, vészhelyzetekre vonatkozó tervek háttér vizsgálatok 3. táblázat: példák üzemeltetési óvintézkedésekre

és

Menedzsment óvintézkedések: azon biztonsági óvintézkedések, melyek a rendszer menedzsmentre és a kockázatkezelésre vonatkoznak. Megelızı jellegőek.

Megelızı • • • •


biztonsági felülvizsgálatok --biztonsági értékelések, kockázatok feltárása, magatartási szabályok kialakítása 4. táblázat: példák menedzsment óvintézkedésekre


181


5. lépés – A valószínőségek meghatározása

A veszélyes tényezık feltárásának utolsó lépése veszélyforrás/sebezhetıség páronként egyegy valószínőségi szint megállapítása. Az ezt befolyásoló tényezık többek között: motiváció és lehetıségek, képességek, a sebezhetıség jellege, a meglévı ellenintézkedések hatékonysága. Egy sebezhetıség kihasználásának esélyét három valószínőségi szint valamelyikébe soroljuk be. Ezt mutatja az alábbi táblázat.

Valószínőség Magas

Közepes

Alacsony

182

Leírás Az alábbi esetek együttes fennállása esetén: • a támadó nagy mértékben motivált, és • a támadó képes a támadás végrehajtására (szakértelme és lehetısége is van a támadásra), és • a sebezhetıséget kihasználó támadások elleni óvintézkedések nem hatékonyak. Amikor: • nem áll fenn a magas valószínőséghez szükséges mindhárom feltétel együttesen, • de nem következik be az alacsony valószínőséget okozó egyik feltétel sem. (pl. a támadó képes a támadás végrehajtására, a sebezhetıséget kihasználó támadások elleni óvintézkedések nem hatékonyak, de a támadó nem eléggé (csak közepesen) motivált, vagy a támadó nagy mértékben motivált, a sebezhetıséget kihasználó támadások elleni óvintézkedések nem hatékonyak, de a támadó csak részben képes a sebezhetıség kiaknázására, vagy a támadó nagy mértékben motivált, képes a támadás végrehajtására, de a sebezhetıség kihasználását közepes hatékonyságú óvintézkedések akadályozzák, stb.) Az alábbi esetek bármelyike esetén: • nincs motiváció a támadásra, • a támadó nem képes a támadás végrehajtására (mert vagy a szakértelme, vagy a lehetısége hiányzik a támadásra), • a védelmi óvintézkedések kivédik a támadást, vagy legalábbis nagy mértékben elrettentik a lehetséges támadókat. 5. táblázat: valószínőségek megállapítása



6. lépés - Hatáselemzés

A kockázatbecslés folyamatában a következı lépés a veszélyek kihatásainak megállapítása. Ezt az öt fı biztonsági cél (alább felsoroljuk) megsérülésének, elvesztésének tükrében vizsgáljuk.

A sértetlenség elvesztése Jogosulatlan hozzáférés az adatokhoz, rendszerhez, szándékosan vagy véletlenül. Kihatások: rendelkezésre álláshoz hasonló következmények, valamint észlelés hiánya esetén hamis adatokkal való további munka beláthatatlan jövıbeli problémákat okoz. A sértetlenség sérülése egyúttal a rendelkezésre állás vagy bizalmasság elleni támadás elsı lépése lehet, és csökkenti a rendszer iránti bizalmat is.

A rendelkezésre állás elvesztése Jogosult felhasználók részben vagy teljesen elvesztik a kapcsolatot a rendszerrel. Kihatások: Sérül a funkcionalitás, a mőködési hatékonyság, csökken a bizalom a szervezet iránt, a hasznos idı szintén lecsökken. Az erıforrások jogosulatlan használata is a bizalom csökkenéséhez vezethet.

A bizalmasság elvesztése Az adatok jogosulatlan személyek általi megismerése. Kihatások: A kisebb kellemetlenségektıl egészen a nemzetbiztonsági problémákig terjedhet.

Az elszámoltathatóság (felelısségre vonhatóság) elvesztése A tevékenységek egyénre való visszavezethetıségének sérülése, elvesztése. Kihatások:

A

tevékenységek

egyénre

való

visszavezethetısége

támogatja

a

letagadhatatlanságot, a hiba-behatárolást, az elrettentést, a behatolás érzékelését és megelızését, a biztonsági események utáni helyreállítást, valamint jogi kérdések tisztázását. Mindezek érvényre jutását gátolja az elszámoltathatóság sérülése, Magyar Informatikai Biztonság Irányítási Követelményrendszer

183

Az informatikai biztonság irányításának vizsgálata elvesztése, továbbá közrejátszhat a sértetlenség, a bizalmasság és a rendelkezésre állás sérülésében is.

A garancia elvesztése A garancia annak a bizalomnak az alapja, hogy a másik négy biztonsági célt az adott implementáció kielégíti. Kihatások: A garancia hiánya azt vonja maga után, hogy nincs megfelelı védelem a véletlen felhasználói és szoftver hibák ellen, illetve nincsenek megfelelı óvintézkedések a rendszerbe építve a szándékos behatolás vagy a biztonsági elemek kikerülése ellen. A garancia elvesztése az egész rendszerbe vetett bizalmat csökkenti.

Bizonyos hatásokat mennyiségi mutatókkal (pl. elveszett nyereség, helyreállítás költségei) mérhetünk, míg másokat minıségi tényezık mutatnak. (pl. súlyos, közepes, kis kihatásúak). A 6. táblázat és ezen útmutató dokumentum minıségi kategóriákat használ.

184



A kihatás szintje Kritikus következmények

A veszély következményének leírása Értéknek

számító

adatok

vagy

egyéb

hozzáférhetetlenné

válása,

módosítása,

rendszerelemek felfedése

vagy

megsemmisítése, továbbá rendszerszolgáltatások elvesztése, ami a belılük származó katasztrofális, a nemzetet érintı következmények

vagy

valószínő

halálesetek

miatt

elfogadhatatlan. Súlyos következmények

Értéknek

számító

adatok

vagy

egyéb

hozzáférhetetlenné

válása,

módosítása,

rendszerelemek felfedése

vagy

megsemmisítése, továbbá rendszerszolgáltatások elvesztése, ami a belılük származó jelentıs feladatvégzés-kimaradás vagy

esetlegesen

személyek

megsérülése

miatt

elfogadhatatlan. Mérsékelt kihatás

Adatok vagy más rendszerelemek, rendelkezésre állásának, módosításának, felfedésének észrevehetı, de helyreállítható sérülése, rendszerszolgáltatások elvesztése, ami átmeneti, mégis jelentıs kihatással van a szervezet feladatainak végzésére, de nem jár személyek sérülésével.

Kis mértékő kihatás

Adatok, rendszerszolgáltatások hozzáférésének elvesztése, módosítása, felfedése vagy megsemmisítése, ami nem okoz jelentıs kárt a szervezet alapfeladataiban, és nem jár személyi sérüléssel. 6. táblázat A kihatások minıségi osztályozása

Minıségi kontra mennyiségi mutatók A minıségi mutatók elınye, hogy a kockázatokat eleve relatív fontossági rendbe sorolja, így a védendı területeket közvetlenül meghatározza. Hátránya, hogy a hatásokat nem tudja költségszinten elemezni.

A mennyiségi mutatók elınye, hogy költséghatékonyság szempontjából képesek elemzést adni

az

ajánlott

óvintézkedésekkel

kapcsolatban.

Hátrányuk,

hogy

a

választott

mértékegységtıl függıen nem feltétlenül adnak világos képet, és a további elemzést minıségi


185

Az informatikai biztonság irányításának vizsgálata mutatókban kell megadni. (Tényezık, melyek a biztonsági következmények mennyiségi mutatóihoz adnak segítséget, például: adott idıegység, pl. 1 év alatt egy támadó hányszor próbál meg kihasználni valamely sebezhetıséget; a sebezhetıség egyszeri támadásával járó költségek)

Ez az útmutató a minıségi mutatók alkalmazását javasolja.

7. lépés - A kockázati szint meghatározása

A veszélyek és azok kihatásának kombinálásával kapjuk meg a kockázat végsı szintjét, mellyel a rendszert és adatait jellemezzük. A kockázatok meghatározása egy adott veszély-sebezhetıség párra kifejezhetı az alábbiak függvényeként: az a valószínőség, amely a sebezhetıség kihasználhatóságát jelzik a vizsgált rendszer konkrét környezetében (melyet az 5. lépésben határoztak meg), az a káros hatás, amelyet egy kihasználható sebezhetıség okoz (melyet a 6. lépésben határoztak meg, Egy adott veszély-sebezhetıség párra meghatározott kockázat lehetséges értékei: alacsony, mérsékelt, jelentıs, kritikus. Az informatikai rendszer kockázati szintje, mellyel a teljes rendszert és adatait jellemezzük, a veszély-sebezhetıség párokra meghatározott legsúlyosabb kockázat lesz. A veszélyek és azok hatásának kombinálásával kapjuk meg a kockázat végsı szintjét. Ezt mutatja a 7. táblázat.

186



A sebezhetıség kihasználhatóságának valószínősége Hatás

Magas

Közepes

Alacsony

Kritikus

Kritikus

Súlyos

Mérsékelt

Súlyos

Súlyos

Mérsékelt

Alacsony

Mérsékelt

Mérsékelt

Mérsékelt

Alacsony

Kis mértékő

Alacsony

Alacsony

Alacsony

7. táblázat A kockázati szint meghatározása

8. lépés – Javaslat óvintézkedésekre

E lépésben azokat az óvintézkedéseket veszik számba, melyek csökkentik vagy megszüntetik az azonosított kockázatokat. A javasolt óvintézkedések célja, hogy elfogadható szintre csökkentsék az informatikai rendszert és annak adatait veszélyeztetı kockázat szintjét.

A javasolt óvintézkedések és alternatív megoldások kiválasztásánál a következı szempontokat tanácsos figyelembe venni: • • • • •

az ajánlott lehetıségek hatékonysága (pl. a rendszer kompatibilitás megmarad-e), törvények és szabályozások, szervezeti szabályzatok, mőködtetési kihatások, biztonság és megbízhatóság.

Bár ebben a lépésben a kockázatok csökkentésérıl vagy megszüntetésérıl beszélünk —mely a tágabban értelmezett kockázatkezeléshez tartozik—, hangsúlyozzuk, hogy itt még nem a kockázatcsökkentés

megvalósításáról,

hanem

javaslatokról

van

szó.

A

javaslatok

tartalmazhatnak döntési pontokat, mely döntéseket az adott szervezeti, üzemeltetési, szabályozási és technikai környezetben kell meghozni.


187

Az informatikai biztonság irányításának vizsgálata 9. lépés – Az eredmények dokumentálása A kockázatbecslés befejezése után az eredményeket dokumentálni kell egy hivatalos jelentésben vagy összefoglalóban. A kockázatbecslésrıl szóló jelentés olyan vezetıi tájékoztató, amely a szervezet felsı vezetését segíti a biztonsági szabályzatokkal, az eljárási, költségvetési, rendszerüzemeltetési és irányítási változtatásokkal kapcsolatos döntéseik meghozatalában. A átvilágítási vagy átvizsgálási jelentéssel szemben, amelyek a szervezetben zajló negatív jellegő tevékenységeket kutatják, a kockázatbecslés eredményeit összefoglaló jelentés nem vádjegyzıkönyv, hanem a kockázatok felmérésének módszeres és elemzı megközelítése, annak érdekében, hogy a felsı vezetés megértse a kockázatokat, és erıforrásokat biztosítson a lehetséges veszteségek csökkentése vagy a veszteség utáni helyreállítás érdekében. Az alábbiakban példaként megadjuk egy kockázatbecslési jelentés vázlatát:

ÖSSZEFOGLALÓ JELENTÉS (Az X. informatikai rendszer kockázatbecslési eljárásának eredményérıl)

Bevezetés Cél Hatókör A kockázatbecslés megközelítése A rendszer leírása (benne a megvalósított illetve tervezett óvintézkedések) A veszélytényezık feltárása A veszélyforrások listája A potenciális sebezhetıségek listája A veszélyek (veszélyforrás/sebezhetıség párok) listája Megállapítások Javaslatok kiegészítı óvintézkedésekre Mellékletek

188


Az informatikai biztonság irányításának vizsgálata Kockázatbecslés a rendszer életciklusa során

Az életciklus kezelés elsı négy fázisában van szerepe a kockázatok felmérésének. Nézzük át ezt a négy szakaszt. Kezdeti szakasz: A kritikusság felmérése. A rendszer hogyan járul hozzá a szervezet feladatainak végrehajtásához. A lehetséges veszélyek és sebezhetıségek megállapítása. Fejlesztési/beszerzési szakasz: A kockázatbecslés célja annak biztosítása, hogy a teljes rendszer tervezése és felépítése, az óvintézkedések által nyújtott biztonsági képességek arányban álljanak az elfogadható kockázati szinttel. (Ebben a szakaszban még tudatosan és kevesebb korlátozással tehetık a rendszerbe biztonsági jellemzık, mint a késıbbi fázisokban.) Megvalósítási szakasz: A kockázatok felmérése új szabályzók vagy rendszerkomponensek hozzáadásakor szükséges. (Például egy távoli eléréső terminál rendszerbe állítása milyen új veszélyek megjelenésével jár, hogyan érinti ez a szervezet feladatait.) Üzemeltetési, karbantartási szakasz: Eseményekre felkészülés, valamint bekövetkezett biztonsági esemény utáni értékelés során kockázatbecslés végrehajtása, a sebezhetıségek és az ajánlott óvintézkedések elemzése. (Például amikor egy meglévı tőzfal behatolást érzékel, újra kell elemezni a veszélyeket, ellenırzési pontokat, stb.)

4. A KOCKÁZATOK CSÖKKENTÉSE

Ebben a fejezetben a kockázatbecslés eredményére alapozva további biztonsági óvintézkedéseket határozunk meg. A cél az, hogy költség-hatékony módon, megvalósítható biztonsági vezérlıket építsünk a rendszerbe, melyek megfelelnek a rendszer környezetének és segítik a szervezet feladatainak teljesítését. Az egyes óvintézkedéseknél a költségeket és az óvintézkedés által nyújtott hasznot egyaránt mérlegelni kell.


189


4.1 A kockázatcsökkentés megközelítési módjai Három szemszögbıl közelíthetünk a témához, amikor kockázatcsökkentésrıl beszélünk:

Megelızı jellegő A hibák, gyengeségek, illetve ezek kihasználására való lehetıségek kiküszöbölése.

Korlátozó Egy veszély hatását csökkentı, enyhítı óvintézkedések, további tevékenységek szükségessége nélkül.

Észlelı és reagáló A sebezhetıségek támadásának észlelése, ártalmas kihatások enyhítésére, illetve válaszreakciók kidolgozása.

Fontos, hogy amikor bizonyos megoldások mellett döntünk, mindig vegyük figyelembe a szervezet feladatait, céljait. Például olyan veszélyekkel nem kell foglalkozni, melyeknek a bekövetkezési esélye nulla. A veszélyekre prioritásokat kell felállítani. Az alkalmazott eszközök és alkalmazások számtalan forrásból származhatnak, ezek összessége (szoftver, hardver, adminisztratív óvintézkedések) alakítja ki a biztonsági architektúrát.

190


Az informatikai biztonság irányításának vizsgálata 4.2 A kockázatcsökkentés áttekintése

reális szándék

Igen Rendszer tervezés

Igen

hiba vagy gyengeség

Nem

&

Nem

Nincs kockázat

Nincs kockázat

Támadó ktge < nyereség

Létezı veszély

Támadható sebezhetıség létezik

Kihasználható?

Igen

Igen

becsült veszteség > küszöbérték

Nem

Nem elfogadható kockázat

Nem

Elfogadható kockázat

Elfogadható kockázat

A 2. ábrán négy döntési pont látható, ahol a kockázatcsökkentésrıl döntés születik: Hiba megléte A

hibák

elıfordulási

valószínőségének

csökkentése

ezt

garantáló

technikák

alkalmazásával. A hiba kihasználható, vissza lehet vele élni Többszintő

védelem,

architekturális

tervezés,

adminisztratív

óvintézkedések

alkalmazása a visszaélések elleni védekezés érdekében. A támadó költsége kisebb, mint a nyeresége Védelem beépítése, amely növeli a támadó költségeit. (Például olyan adminisztratív óvintézkedések, melyek szabályozzák a feldolgozható adatok körét, nagyban csökkentik a támadó nyereségét.) A veszteség túl nagy Tervezési elvek, architekturális tervek és adminisztratív óvintézkedések alkalmazása a támadás mértékének csökkentésére, így a veszteségek enyhítésére. (Itt is igaz, hogy az Magyar Informatikai Biztonság Irányítási Követelményrendszer

191

Az informatikai biztonság irányításának vizsgálata olyan adminisztratív óvintézkedések, melyek korlátozzák a feldolgozható adatok körét, nagyban csökkentik a támadó nyereségét.)

A 2. ábra alkalmazható a rendszer- és felhasználói hibákra is, azzal a különbséggel, hogy ezekben az esetekben nincs “támadó”.

4.3 Az óvintézkedések megvalósítása A biztonsági óvintézkedések lehetnek technikaiak, üzemeltetéssel kapcsolatosak és menedzsment jellegőek. Az eszközök, módszerek kiválasztásánál a legnagyobb kockázatot kell figyelembe venni, és célul kell kitőzni a megfelelı kockázatcsökkentést, a legalacsonyabb költségen, a feladatok teljesítésére való legkisebb kihatás szem elıtt tartása mellett. A megelızı, korlátozó vagy elrettentı biztonsági módszerek ritkán vagy sohasem adnak tökéletes védelmet a támadók ellen. A következıkben áttekintjük az eszközök típusait, valamint megnézzük a költség-hasznon elemzés végrehajtását. 4.3.1 Technikai biztonsági óvintézkedések

Általában hardvert és szoftvert tartalmazó, rendszer architektúrát, tervezési elveket és biztonsági csomagokat jelentı óvintézkedések, módszerek, eszközök, melyek összessége közremőködik a biztonsági szempontból érzékeny adatok és létfontosságú funkciók védelmében. Csoportosításuk: Kiszolgáló: Általánosak és a legtöbb informatikai biztonsági képesség alapját alkotják. Megelızı: A biztonságot megsértı esemény bekövetkezésének megakadályozására szolgálnak. Észlelı és helyreállítási: A biztonsági esemény megtörténtének észlelése és a károkból történı helyreállítás a feladatuk. Kiszolgáló óvintézkedések /átfogó jellegőek, más vezérlıkkel is kapcsolatosak/: • Azonosítás és nevekkel ellátás • Kriptográfiai kulcsok kezelése 192


Az informatikai biztonság irányításának vizsgálata • Biztonsági adminisztráció • Rendszerszintő védelmi elemek Megelızı óvintézkedések: • Védett kommunikáció • Hitelesítés • Jogosultság-kezelés, funkciók engedélyezési eljárásai • Hozzáférés ellenırzés érvényesítése • Letagadhatatlanság biztosítása • Átvitel (tranzakció) bizalmassága Észlelı és helyreállítási óvintézkedések: • Naplózás • Behatolás érzékelés és elszigetelés • Sértetlenség bizonyítása • A biztonságos állapot helyreállítása


193


megelızı

észlelı/ helyreállítás Átvitel bizalmassága

hitelesítés Felhasználó vagy

engedélyezés

kiszolgáló

letagadhatatlanság

naplózás

erıforrás

folyamat hozzáférés ell. érvényesítése

behatolás érzékelés és elszigetelés

sértetlenség bizonyítása

biztonságos állapot visszaállítása

Védett kommunikáció (védett a felfedés, kicserélés, módosítás és visszajátszás ellen)

Azonosítás (és elnevezések alkalmazása) Kriptográfiai kulcsok kezelése Biztonsági adminisztráció Rendszerszintő védelmi elemek (legkisebb jogosultság, objektum újrahasználat, folyamatok elkülönítése, stb.)

3. ábra: az elsıdleges technikai óvintézkedések képi ábrázolása és az óvintézkedések közötti kapcsolatok.

194


Az informatikai biztonság irányításának vizsgálata 4.3.2 Menedzsment jellegő biztonsági óvintézkedések

Rendszer biztonsági terv

Az USA-ban, Ausztráliában és több más országban kötelezı (Magyarországon is ajánlatos lenne!), hogy minden általános támogató rendszer és fıalkalmazás esetén készüljön egy Rendszer biztonsági terv, mely tartalmazza a rendszer azonosítását, típusát, érzékenységi szinteket és biztonsági óvintézkedéseket, valamint a kockázatelemzés során megállapított javaslatokat (kiegészítı óvintézkedésekre).

Eljárásbeli biztonsági óvintézkedések

A biztonsági eljárások azt hivatottak biztosítani, hogy a szervezet céljainak és feladatainak sikeres végrehajtásához szükséges folyamatok a követelmények alapkészletével összhangban folynak. A környezetre vonatkozó eljárások egy veszély bekövetkeztének esélyét csökkentik, más eljárások a megtörtént események után segítik a probléma forrásának feltárását.

Példák eljárásbeli óvintézkedésekre: •

Eljárásokkal korlátozzuk az egyes adathozzáférési szintekbe tartozó egyének körét, dokumentáljuk az egyes felhasználók jogait.

•

Szabályokat adunk a jelszavak generálására, ellenırzésére és használatára.

•

Eljárásokat vezetünk be a rendszer egyes életciklus szakaszaira, pl. tesztekre, tervezési megbeszélésekre, biztonsággal kapcsolatos kódok módosítására vonatkozóan, stb.

Szabványos eljárások alkalmazásával könnyebb az események felderítése, a támadás vagy hibák forrásának megtalálása. Az ilyen módszerek használata egyúttal növeli a hatékonyságot, és segít egy támadásokra kevésbé érzékeny, ellenırzött környezet kialakításában is.


195


196



4.3.3 Üzemeltetési óvintézkedések

Igen hatékony módszer az információbiztonság erısítésére a biztonsági oktatás, a tudatosság növelése, a képzés. Az oktatás szintje a felelısségi köröktıl és a felhasználó rendszerrel való kapcsolatától függ.

A vírusok rendszerbe jutásának megakadályozása igen fontos. Bár maga a vírusvédelem technikai probléma, a végrehajtás hatékonyságát szabályokkal, üzemeltetési renddel emelhetjük. (Minden gépen új vírusirtók rendszeres letöltése,..)

A külsı tároló médiával is foglalkozni kell. Lopás, illegális másolatok készítésének megakadályozása: gondos nyilvántartással és tárolóeszközre vonatkozó követelményekkel.

Rendszerkarbantartás: fontos a sikeres mőködéshez, de biztonsági kockázatokat is hordoz, mint pl. lopás, meghamisítás, károkozás. A karbantartást ütemezni, dokumentálni, az ezt végzı személyzetet ellenırizni kell. Változások követése, konfigurációkezelés lényeges.

Üzletmenet folyamatossági terv: a szervezet a feladatát problémák esetén is lássa el.(kritikus funkciók átirányítása, alternatív lehetıségekre átállás, személyzet helyettesítése, …)

Rendkívüli informatikai események kezelése: tervet kell készíteni, mely elıírja, hogy biztonsági események bekövetkeztekor mi a teendı.

Személyzeti ellenırzés eszközei

Korlátozni kell a rendszer használóinak körét. Háttérellenırzéseket kell végrehajtani.


197


Fizikai biztonsági óvintézkedések

Az információs rendszerek és információk kompromittálódása, lopása, rongálása ellen védenek.

Eszközök: fizikai korlátok, ırök, kerítések, zárak, lezárt munkahelyek, belépı személyeknek jelvények, kártyák kiosztása.

Nem emberi veszélyek (tőz, víz, földrengés, stb. ) ellen: pl. feszültségszabályozó transzformátorok, szünetmentes áramforrások, helyi áramgenerátorok használata.

198


Az informatikai biztonság irányításának vizsgálata 4.4 Költség-haszon elemzés Minden lehetséges óvintézkedést nem lehet megvalósítani, ezért a szervezet számára leginkább megfelelık kiválasztásához költség-haszon elemzést kell végrehajtani az egyes óvintézkedésekre. Ez lehet minıségi vagy mennyiségi, célja pedig annak megmutatása, hogy az óvintézkedések megvalósítását adott esetben igazolja a kockázatcsökkenés szintje.

Elsı lépés az óvintézkedések által biztosított elınyök meghatározása az óvintézkedés megvalósításának, illetve mőködtetésének költségéhez viszonyítva. Két tényezı segítségével elemezhetjük a szervezetek az óvintézkedés által csökkentett kockázati szint mértékét. Ezek a valószínőség és a kihatás (következmény).

A kihatás paraméter a szervezet feladatától függ, és általában nem változtatható. Amennyiben azonban költség-hatékony óvintézkedés nem létezik, akkor a kockázat csökkentésének egyetlen módja, hogy a rendszernek a szervezet feladataiban betöltött szerepét módosítjuk. Ha költség-hatékony óvintézkedéseket tudunk megvalósítani, akkor a céljuk, hogy megakadályozzák egy biztonsági esemény bekövetkezését, csökkentsék annak következményét, illetve mindkettı is cél lehet. A következıkkel érhetjük ezt el: •

Hibák

és

gyengeségek

egy

részének

kiküszöbölése,

ezáltal

a

lehetséges

veszélyforrás/sebezhetıség párok csökkentése. •

Célzott óvintézkedések hozzáadása. Például egy fizikai hozzáférést igénylı sebezhetıséget nem védünk ki, de adminisztratív óvintézkedésekkel korlátozzuk a fizikai hozzáférést.

•

Egy sebezhetıséggel való visszaélés nagyságrendjét csökkentjük a sebezhetıség mértékének csökkentésével vagy a rendszer és a szervezet feladatai közti kapcsolódás jellegének módosításával. Ezt az elvet mutatja a 4. ábra:


199


Hibák számának csökkentése

Célintézkedés alkalmazása Új vagy bıvített intézkedések

Csökkentett kockázati szint

Következmény nagyságának csökkentése

A 4. ábrán látható folyamatban technikai, üzemeltetési és menedzsment ajánlások közül választhatunk a szervezet biztonsági képét alkotó intézkedések hatékonyabbá tétele érdekében.

Vannak olyan esetek, amikor egy technikai óvintézkedés bár drágább és összetettebb az eljárásbelinél, de hatékonyabb is attól, mivel automatizálni lehet. A felhasználókra vonatkozó eljárásrendi óvintézkedések életbe léptetése viszont csak megegyezés, útmutató, illetve utasítás kérdése, igaz, sokkal nehezebb feladat annak biztosítása, hogy valóban betartják ezeket a felhasználók.

A megfelelı óvintézkedések azonosítása és elınyeik meghatározása után a kapcsolatos költségeket kell számba venni, melyek az alábbiakból tevıdnek össze: • hardver és szoftver vásárlások • csökkentett üzemelési hatékonyság, ha a rendszerteljesítmény vagy funkcionalitás az emelt biztonság miatt csökken • a kiegészítı szabályzatok és eljárások megvalósításának költségei

200


Az informatikai biztonság irányításának vizsgálata • a javasolt szabályzatok, eljárások vagy szolgáltatások megvalósítását elvégzı új alkalmazottak bérköltségei • oktatási-, képzési költségek • karbantartási költségek Végül értékelni kell az óvintézkedések elınyeit a szervezetre megállapított elfogadható feladatvégzés fenntartásának tükrében. Ahogyan egy óvintézkedésnek van megvalósítási költsége, úgy költségvonzata van annak is, ha nem valósítjuk meg. Mivel az elfogadható kockázat szintje a menedzsment döntése, a felelısöknek meg kell határozniuk, hogy mi az elfogadható szintő, a szervezet alapfeladatait érintı kockázat szintje. Amennyiben különbözı kockázati szinteket alakítunk ki, akkor értékelhetjük egy óvintézkedés következményeit, és elfogadhatjuk vagy elvethetjük azt. Szervezetenként eltérı ez a folyamat, de az alábbi példákhoz hasonló a kockázat és óvintézkedések megállapítása: Ha az óvintézkedés a szükségesnél nagyobb mértékben csökkenti a kockázatot, akkor nézzük meg, hogy van-e olcsóbb lehetıség. Ha az óvintézkedés többe kerül, mint az általa biztosított kockázatcsökkenés, akkor keressünk más megoldást. Ha az óvintézkedés nem csökkenti eléggé a kockázatot, akkor keressünk további óvintézkedéseket mellé vagy teljesen más óvintézkedést. Ha az óvintézkedés elégséges kockázatcsökkentéssel jár és költség-hatékony, akkor használjuk. Ne felejtsük el, hogy egy óvintézkedés megvalósításának költségei mindig kézzel foghatóbbak, mint a meg nem valósításé. Gyakran csak a folyamatok tulajdonosa tudja e kettı relatív mértékét meghatározni.

4.5 Maradványkockázat Kevés rendszer kockázatmentes (ha van ilyen egyáltalán). Mindegyikben van valamekkora maradványkockázat. A folyamattulajdonos felelıssége, hogy milyen szintő kockázatot vállal fel. A döntésnek a költség-haszon elemzésen (lásd 4.4 alfejezet), valamint a kockázatbecslésen (3. fejezet) kell alapulnia. Sok országban az elfogadható kockázat szintje


201

Az informatikai biztonság irányításának vizsgálata szorosan kapcsolódik a rendszer elfogadáshoz, engedélyeztetéshez, ami a rendszer formális jóváhagyását jelenti a használatba vételre, illetve a további használatra. (Hazánkban még nincs ilyen kötelezı engedélyeztetési/használatba vételi eljárás.)

4.6 Kockázatcsökkentés a rendszer életciklusa során A kockázatok csökkentésével általában a második (fejlesztés vagy beszerzés) életciklus fázisban kezdünk foglalkozni, amikor a rendszerre a technikai, menedzsment és üzemeltetési biztonsági óvintézkedéseket meghatározzuk. A gazdasági és a kormányzati szervezetek egyetértenek abban, hogy a rendszer életciklusának a kezdete a legalkalmasabb arra, hogy a biztonsággal foglalkozni kezdjünk, és így tudjunk költség-hatékony, együttmőködni képes megoldásokat építeni a rendszerekbe.

A megvalósítási szakaszban a meglévı rendszerbe illesztjük be az óvintézkedéseket. Az üzemeltetési és karbantartási fázisban az óvintézkedések élnek, és a nem kívánatos jogosulatlan támadásokat hivatottak kivédeni. Új óvintézkedésekre lehet szükség a változások (új veszélyek, szervezet kritikussági szintje változik, stb.) következtében.

Az utolsó (visszavonási) szakaszban az általánosan elfogadott gyakorlatnak megfelelıen hálózati elemeket semmisítünk meg, demagnetizálunk, illetve egyéb módszereket alkalmazunk arra, hogy illetéktelen kezekbe ne kerüljenek érzékeny adataink.

202


Az informatikai biztonság irányításának vizsgálata 5 ÉRTÉKELÉS ÉS FELÜLVIZSGÁLAT A kockázatelemzés eredménye csupán a kezdete egy folyamatnak, melynek célja, hogy csökkenjenek egy IT biztonsági esemény által okozott, a szervezet feladatait érintı negatív következmények. A legtöbb szervezetnél folyamatosan változnak a hálózati elemek, a hardverek, a szoftverek. Cserélıdnek az alkalmazottak, és a biztonsági szabályzatok (biztonságpolitikák) sincsenek kıbe vésve. Mindez azt jelenti, hogy új kockázatok jelennek meg és a korábban mérsékeltnek ítélt kockázatokat újra át kell gondolni. Ezért a kockázatkezelés a szervezet életében folyamatosan jelen lévı, dinamikusan alakuló problémakör. Szükség van ütemezésre, de rugalmasságra is a változások miatt. Tapasztalatok szerint 24 hónap vagy attól kisebb idıszak elteltével az elemzést meg kell ismételni. Bizonyos esetek azonban azonnali elemzést igényelnek. Ilyenek például új berendezés telepítése, szoftveralkalmazások új verziójára áttérés, új rendszer platform telepítése. Idırıl idıre új munkatársak vagy a dolgozók új szerepkörben való megjelenése kívánja meg a vizsgálatot. Egyes országok informatikabiztonsági szabályozása kötelezıvé teszi a rendszeres felülvizsgálatot. (Az USA-ban legalább háromévente kötelezı elvégezni ezt a felülvizsgálatot. Magyarországon nincs erre vonatkozó jogszabály.)

Szükség van idıszakos újraértékelésre a rendszerbiztonság állásának pontos feltérképezéséhez is. Az eredmények ismeretében akár a szervezet biztonságpolitikáját is módosítani kell, hogy a meglévı biztonsági program gyenge pontjait jobban átlássuk. A 3.6 alfejezetben megadtunk egy vázlatot a kockázatbecslés eredményeinek dokumentálására. Megfelelıen részletezzük az eredményeket, hogy a vezetés pontos információkon alapuló döntéseket tudjon hozni a feladatok teljesítését veszélyeztetı kockázatok csökkentésére. Használjunk megjegyzéseket, különösen a javasolt óvintézkedések leírásakor. Diagramok alkalmazása is hasznos lehet. Mindenekelıtt azonban, tartsuk szem elıtt az ajánlások kivitelezhetıségét a rendelkezésre álló erıforrások és a meglévı kockázatok tükrében.


203

Az informatikai biztonság irányításának vizsgálata 6. AZ ELEKTRONIKUS KÖZIGAZGATÁSI SZOLGÁLTATÁSOKAT MEGALAPOZÓ INFORMÁCIÓK ÉS INFORMATIKAI CÉLRENDSZEREK BIZTONSÁGI KATEGORIZÁLÁSA A 3. fejezetben leírt 9 lépés egy általánosan alkalmazható módszert írt le a kockázatok felmérésére, melynek alkalmazásával egy tetszıleges informatikai rendszerre nézve meghatározhatók a releváns kockázatok, majd ebbıl kiindulva a felmért kockázatok (elfogadható szintre) csökkentéséhez szükséges biztonsági intézkedések. Ez a fejezet egy rövidített, egyszerőbb és költséghatékonyabb módszert ír le. A kockázatfelméréshez hasonló (de annál jóval egyszerőbben megvalósítható) megközelítéssel egy informatikai célrendszert biztonsági osztályok egyikébe lehet sorolni.

6.1 Biztonsági célok és kihatás szintek A közigazgatási szolgáltatásokat megalapozó információk és informatikai célrendszerek biztonsági kategóriái három biztonsági cél, s az ezekkel kapcsolatos veszélyeztetettségi (kihatás) szinteken keresztül definiálhatók. Jelen ajánlás a következı három biztonsági célra alapozza az informatikai rendszerek biztonsági kategorizálását: bizalmasság „Olyan biztonsági tulajdonság, amely lehetıvé teszi, hogy az információ jogosulatlan szubjektumok számára ne legyen elérhetı, vagy ne kerüljön nyilvánosságra.” [3] sértetlenség „Olyan biztonsági tulajdonság, amely azt jelenti, hogy az adatot, információt vagy programot csak az arra jogosultak változtathatják meg és azok észrevétlenül nem módosulhatnak.” A sértetlenség fogalmába - jelen dokumentum megközelítése szerint - beleértendı az információk letagadhatatlansága és hitelessége is: • •

204

letagadhatatlanság: „Olyan biztonsági tulajdonság, amely megfelelı bizonyítékokkal szolgál az informatikai rendszerben végrehajtott tevékenységek késıbbi ellenırizhetıségét illetıen.” hitelesség: „A hitelesség az entitás egy olyan biztonsági tulajdonsága, amely egy vagy több hozzá kapcsolódó tulajdonságot más entitás számára bizonyíthatóvá tesz.”


Az informatikai biztonság irányításának vizsgálata rendelkezésre állás "Olyan tulajdonság, amely lehetıvé teszi, hogy a feljogosított szubjektum által támasztott igény alapján az adott objektum elérhetı és használható legyen." A fenti biztonsági célok sérülésével járó, szervezetekre, illetve egyénekre gyakorolt potenciális hatások (kihatás szintek) az alábbiak: Alacsony, amennyiben a bizalmasság, sértetlenség vagy rendelkezésre állás elvesztése várhatóan korlátozott hátrányos hatást gyakorol a közigazgatási szervezet mőveleteire, vagy a szervezet eszközeire6. A korlátozott hátrányos hatás azt jelenti, hogy a bizalmasság, sértetlenség vagy rendelkezésre állás elvesztése: (i)

(ii) (iii) (iv)

a szolgáltatási képességet oly mértékben és olyan idıtartamra csökkentheti, hogy a szervezet képes végrehajtani ugyan elsıdleges funkcióit, de a funkciók hatásossága észrevehetıen csökken; vagy a szervezeti eszközök kisebb mértékő károsulását eredményezi; vagy kisebb mértékő pénzügyi veszteséget okoz, vagy a jogbiztonságot kisebb mértékben veszélyezteti.

Fokozott, amennyiben a bizalmasság, sértetlenség vagy rendelkezésre állás elvesztése várhatóan komoly hátrányos hatást gyakorol a közigazgatási szervezet mőveleteire, vagy a szervezet eszközeire. A komoly hátrányos hatás azt jelenti, hogy a bizalmasság, sértetlenség vagy rendelkezésre állás elvesztése: (i)

(ii) (iii) (iv)

a szolgáltatási képességet oly mértékben és olyan idıtartamra csökkentheti, hogy a szervezet képes végrehajtani elsıdleges funkcióit, de a funkciók hatásossága jelentıs mértékben csökken; vagy a szervezeti eszközök jelentıs károsulását eredményezi; vagy jelentıs pénzügyi veszteséget okoz, vagy a jogbiztonságot jelentıs mértékben veszélyezteti.

Kiemelt, amennyiben a bizalmasság, sértetlenség vagy rendelkezésre állás elvesztése várhatóan súlyos vagy katasztrofális hatást gyakorol a közigazgatási szervezet mőveleteire, vagy a szervezet eszközeire. A súlyos vagy katasztrofális hátrányos hatás azt jelenti, hogy a bizalmasság, sértetlenség vagy rendelkezésre állás elvesztése: 6

Az általános kategorizálásnál a hátrányos hatásokat nem csak a szervezetekre és eszközeikre vizsgálják, hanem a szervezetekkel kapcsolatba kerülı személyekre is. Jelen ajánlásban feltételezzük, hogy az érintett informatikai célrendszerek emberi életeket nem veszélyeztetnek, így ezt a kategorizálási szempontot elhagytuk.

Folytatás a következı oldalon!


205

Az informatikai biztonság irányításának vizsgálata (i)

(ii) (iii) (iv)

206

a szolgáltatási képességet olyan mértékben és olyan idıtartamra csökkentheti, illetve akár meg is szőntetheti, hogy a szervezet nem képes végrehajtani egy vagy több elsıdleges funkcióját; vagy a szervezeti eszközök lényegi károsulását eredményezi; vagy lényegi pénzügyi veszteséget okoz, vagy a jogbiztonságot alapvetı mértékben veszélyezteti.


Az informatikai biztonság irányításának vizsgálata 6.2 Információ típusok biztonsági kategorizálása Az információ típusa szerint kerül biztonsági kategorizálásra. Az információ típus az információ egy konkrét kategóriája (például személyes adat, magántitok, különleges adat, üzleti titok, pénzügyi információ, rendszer információ). Egy információ típus megfelelı biztonsági kategóriájának megállapításához az adott információ típusra vonatkozóan meg kell határozni a három biztonsági célra gyakorolt potenciális hatást (kihatás szintet). Ezek segítségével egy információ típus biztonsági kategóriája az alábbi általános képlettel fejezhetı ki: BIZTONSÁGI KATEGÓRIA információ típus = {(bizalmasság, hatás), (sértetlenség, hatás), (rendelkezésre állás, hatás)} /vagy rövidebben jelölve ugyanezt: BK információ típus = {(b, hatás), (s, hatás), (r, hatás)}/

A hatás (kihatás szint) lehetséges értékei: nem értelmezhetı (-)7, alacsony, fokozott, kiemelt. A fenti kategorizálás alkalmazható mind az elektronikus, mind a nem elektronikus formában levı információkra, bár jelen ajánlás csak az elsı megjelenési formára koncentrál. Az alábbi példák az információ típusa szerint biztonsági kategorizálást szemléltetik. 1. Példa: Egy közigazgatási szervezet, mely nyilvános információkat tesz elérhetıvé honlapján keresztül megállapítja, hogy ezen nyilvános információk bizalmasságának elvesztésébıl nem származik potenciális hatás (vagyis a bizalmasság védelmére nem kell külön követelményeket támasztania és kielégítenie), egyúttal alacsony potenciális hatás éri a sértetlenség és a rendelkezésre állás elvesztése esetén. A fentieket az alábbi biztonsági kategória fejezi ki: BKnyilvános_információ = {(b, -), (s, alacsony), (r, alacsony)}/


207


2. Példa: Egy közigazgatási szervezet, mely érzékeny személyes adatokat kezel, azt állapítja meg, hogy ezen személyes adatok vonatkozásában a bizalmasság és a sértetlenség elvesztésébıl fokozott, míg a rendelkezésre állás elvesztése esetén alacsony potenciális hatás éri. Ezt az alábbi biztonsági kategória fejezi ki: BKszemélyes_ információ = {(b, fokozott), (s, fokozott), (r, alacsony)}

3. Példa: Egy közigazgatási szervezet (személyes adatokat nem tartalmazó) adminisztratív információkat kezelı pénzügyi részlegének informatikai alrendszerére megállapítja, hogy az adminisztratív információkat a bizalmasság és a sértetlenség elvesztése esetén egyaránt alacsony potenciális hatás éri, ugyanakkor a rendelkezésre állás kihatás szintje kiemelt. Ezzel az alábbi biztonsági kategóriát határozta meg: BKadminisztratív_információ = {(b, alacsony), (s, alacsony), (r, kiemelt)} 6.3 Informatikai rendszerek biztonsági kategorizálása Jelen dokumentum minden elektronikus ügyintézést nyújtó közigazgatási hatóságtól elvárja, hogy informatikai célrendszerüket a bizalmasság, sértetlenség és rendelkezésre állás biztonsági célok alapján együttesen, az alábbi biztonsági osztályok egyikébe sorolja: • alacsony kihatású (biztonsági osztály), • fokozott kihatású (biztonsági osztály), • kiemelt kihatású (biztonsági osztály). Egy informatikai célrendszer biztonsági kategorizálása (a fenti biztonsági osztályok egyikébe sorolása) a következı lépésekbıl áll: 1. lépés: az informatikai célrendszer által kezelt (fogadott, feldolgozott, tárolt, továbbított) információ típusok meghatározása. 2. lépés: Az informatikai célrendszer által kezelt (fogadott, feldolgozott, tárolt, továbbított) valamennyi információ típusra az adott információ típus biztonsági kategóriájának a meghatározása a 3.2 alfejezetben meghatározott módon. 7

A "nem értelmezhetı" hatás érték csak a bizalmasság biztonsági cél esetében alkalmazható.

208


Az informatikai biztonság irányításának vizsgálata 3. lépés: A három biztonsági célra (bizalmasság, sértetlenség, rendelkezésre állás) vonatkozóan külön-külön a rendszerszintő kihatás meghatározása, az egyes információ típusokra kapott legmagasabb értékek megállapításával. 4. lépés: Az úgynevezett „high water mark” elv alkalmazásával a teljes informatikai rendszerre megállapítani a kihatás szintjét: • az alacsony kihatású rendszer olyan, amelyben mindhárom biztonsági cél szerinti kihatás alacsony szintő, • a fokozott kihatású rendszer esetén legalább az egyik biztonsági cél fokozott szintő, és nincs fokozottnál erısebb szintő biztonsági cél, végül, • a kiemelt kihatású rendszer olyan informatikai rendszer, amelyben legalább az egyik biztonsági cél szerinti kihatás kiemelt szintő.


209

Az informatikai biztonság irányításának vizsgálata Tekintsük példaként az alábbi három (A, B és C) közigazgatási hatóságot: A informatikai célrendszere kizárólag a 3.2 alfejezet 1. példájában szereplı nyilvános információkat kezeli. B informatikai célrendszere a 3.2 alfejezet 1. és 2. példájában szereplı nyilvános és személyes információkat kezeli. C informatikai célrendszere pedig a 3.2 alfejezet 1. – 3. példáiban szereplı nyilvános, személyes és adminisztratív információkat egyaránt kezeli (mert például valamennyi belsı informatikai alrendszerét egy közös hálózatba integrálta). Az A közigazgatási hatóság az • 1. lépésben meghatározza, hogy egyedül a nyilvános információ típussal kell számolnia, • 2. lépésben megállapítja az alábbi biztonsági kategóriát: BKnyilvános információ = {(b, -), (s, alacsony), (r, alacsony), • 3. lépésben megállapítja hogy a bizalmasság kihatás szintje nem értelmezhetı, a sértetlenség és a rendelkezésre állás kihatás szintje pedig alacsony, • 4. lépésben megállapítja, hogy informatikai rendszere alacsony kihatású. A B közigazgatási hatóság az • 1. lépésben meghatározza, hogy a nyilvános és a személyes információ típusokkal kell számolnia, • 2. lépésben megállapítja az alábbi biztonsági kategóriákat: BKnyilvános_információ = {(b, -), (s, alacsony), (r, alacsony)}, és BKszemélyes_információ = {(b, fokozott), (s, fokozott), (r, alacsony), • 3. lépésben megállapítja hogy a bizalmasság és sértetlenség biztonsági célok kihatás szintje fokozott, míg a rendelkezésre állásé alacsony, • 4. lépésben megállapítja hogy informatikai rendszere fokozott kihatású. A C közigazgatási hatóság az • 1. lépésben meghatározza, hogy a nyilvános, személyes és adminisztratív információ típusokkal kell számolnia, • 2. lépésben megállapítja az alábbi biztonsági kategóriákat: BKnyilvános_információ = {(b, -), (s, alacsony), (r, alacsony), BKszemélyes_információ = {(b, fokozott), (s, fokozott), (r, alacsony), BKadminisztratív_információ = {(b, alacsony), (s, alacsony), (r, kiemelt), • 3. lépésben megállapítja hogy a bizalmasság és sértetlenség biztonsági célok kihatás szintje fokozott, míg a rendelkezésre állásé kiemelt, • 4. lépésben megállapítja hogy informatikai rendszere kiemelt kihatású.

210


Az informatikai biztonság irányításának vizsgálata Összefoglalva a fentieket: egy informatikai rendszerre vonatkozó biztonsági osztályba (kategóriába) sorolásakor figyelembe kell venni az adott informatikai rendszer által fogadott, tárolt, feldolgozott, illetve továbbított információ típusok mindegyikére meghatározott biztonsági kategóriákat, s az ezek között kapott legmagasabb kihatás szint lesz az informatikai rendszer kihatás szintje (biztonsági osztálya). Kivételes esetben az is kimutatható, hogy egy adott biztonsági cél szempontjából az informatikai rendszer érzékenyebb, mint az alkotó információ típusok összessége, ekkor a rendszerre meghatározott kihatás szint magasabb is lehet, mint a legmagasabb információ típus összetevıé (példa erre az aggregáció esete), Az információ típus biztonsági kategóriáit a felhasználói információkra (azaz a közigazgatási hatóságra, illetve az ügyfelekre vonatkozó információkra) kell meghatározni, de az így nyert kategória vonatkozik a rendszer információkra is. A rendszer információkat (például hálózati útvonal táblázatok, jelszó adatállományok, kriptográfiai kulcskezelési információk) olyan szinten kell megvédeni, amely arányban áll a legkritikusabb, illetve legérzékenyebb felhasználói információk rendszerbeli feldolgozásával. Az informatikai rendszerek fent leírt biztonsági kategorizálása során megállapított szint (alacsony kihatású / fokozott kihatású /kiemelt kihatású) határozza meg a rendszerben megvalósítandó biztonsági ellenintézkedéseket.


211

Az informatikai biztonság irányításának vizsgálata TERMINOLÓGIA Kifejezés Bizalmasság

Biztonság

Biztonsági célok Felelısségre vonhatóság (elszámoltathatóság)

Garancia

Integritás (sértetlenség)

IT biztonsági cél IT-kockázat

212

Definíció Az a biztonsági cél, mely kimondja, hogy védekezni kell a jogosulatlan adatolvasás esemény véletlen vagy szándékos bekövetkeztétıl. Lefedi a tárolt, feldolgozás alatt álló, illetve ideiglenes állapotban, átmeneti helyen elıforduló, átviteli csatornán megjelenı adatokat. A rendszer tulajdonsága. Sokkal több, mint mechanizmusok vagy funkciók adott készlete. Az IT biztonság egyrészt rendszer tulajdonság, valamint mechanizmusok összessége, melyek lefedik mind logikailag, mind fizikailag a teljes rendszert. Az öt biztonsági cél: bizalmasság, rendelkezésre állás, integritás, felelısségre vonhatóság és garancia. Az a biztonsági cél, mely azt a követelményt mondja ki, hogy egy egyed tevékenységeit egyértelmően nyomon lehessen követni az egyedig. A letagadhatatlanság, elrettentés, a hibák behatárolása, a behatolás érzékelése és megelızése, valamint biztonsági események bekövetkeztekor a helyreállítás és jogi eljárások eszköze. A megbízhatóság alapja, hogy a négy biztonsági cél (integritás, rendelkezésre állás, bizalmasság és elszámoltathatóság) megfelelıen kielégítésre kerül egy adott implementációban. A “megfelelıen kielégítésre kerül” az alábbiakat öleli át: (1) a funkcionalitások helyesen hajtódnak végre, (2) elegendı védelmet építettek a rendszerbe a nem szándékos (felhasználói vagy szoftver) hibák ellen, és (3) a rendszer a megkívánt szinten ellenáll a szándékos behatolási kísérleteknek illetve biztonsági funkciókat kikerülni akaró támadásoknak. Az a biztonsági cél, mely azt a követelményt fogalmazza meg, hogy védelmet kell biztosítani az adatintegritás (az adatokat nem módosították jogosulatlanul) vagy rendszerintegritás (a rendszert nem manipulálták) megsértésére irányuló szándékos próbálkozások vagy véletlen események ellen. Lásd: biztonsági célok Az a tiszta üzleti/misszió kihatás, mely az alábbiakból tevıdik össze: (1) annak valószínősége, hogy egy adott veszélyforrás kihasznál vagy kivált valamely sebezhetıséget a rendszerben, és (2) ennek bekövetkezésekor a kihatások, következmények. Az IT-vel kapcsolatos kockázatok jogi kötelezettségekbıl vagy a szervezet feladatait/üzleti céljait fenyegetı veszteségekbıl származnak, melyek fıbb okai: 1. információk jogosulatlan (rosszindulatú, nem-rosszindulatú vagy véletlen) megismerése (felfedése), módosítása vagy megsemmisítése 2. nem rosszindulatú hibák és mulasztások 3. IT folyamatok megszakadása természeti katasztrófák vagy emberi vétség miatt 4. gondatlan, hibás kezelés az IT mőveletek és implementáció során Magyar Informatikai Biztonság Irányítási Követelményrendszer


Kifejezés Kockázat Kockázatbecslés (kockázatelemzés)

Kockázatkezelés

Rendelkezésre állás

Sebezhetıség

Szolgáltatás megtagadás

Veszély (fenyegetés) Veszélyforrás

Veszélyek elemzése

Definíció E dokumentumban az IT-kockázat szinonimája. Az a folyamat, melynek során meghatározzuk a rendszerbiztonsági kockázatokat, az egyes események elıfordulási valószínőségét, a kihatásokat és a negatív következményeket csökkentı óvintézkedéseket. A kockázatkezelés része, szinonimája: kockázatelemzés. Az információs rendszerekkel kapcsolatos kockázatok meghatározásának, ellenırzésének és csökkentésének teljes folyamata. Magába foglalja a kockázatok felmérését, a költséghaszon elemzést, a biztonsági óvintézkedések kiválasztását, megvalósítását, tesztelését és biztonsági értékelését. Figyelembe veszi a hatékonyságot és hatásosságot, beleértve a szervezet feladataira való kihatásokat és a politika, szabályozás és törvények miatti korlátozásokat. Az a biztonsági cél, mely azt a követelményt fogalmazza meg, hogy a rendszert védeni kell - a következı szándékos vagy véletlen események ellen: (1) adatok jogosulatlan törlése vagy (2) szolgáltatás vagy adat elérhetıségének más módon való megtagadása,

- illetve a rendszererıforrások jogosulatlan használata ellen. A rendszer biztonsági követelményeiben, tervezésében, implementációjában vagy üzemeltetésében fellelhetı olyan gyengeség, mely véletlenül kiváltható vagy szándékosan vissza lehet vele élni, és a rendszer biztonsági politikájának megsértését vonja maga után. Erıforrásokhoz való hozzáférés jogosult hozzáférésének megakadályozása, gátolása, illetve az idıkritikus mőveletek késleltetése. Egy veszélyforrás lehetısége arra, hogy véletlenül vagy szándékosan kiváltson, kihasználjon egy adott sebezhetıséget. Vagy (1) szándék és módszer, mellyel egy sebezhetıséget szándékosan ki akarnak használni, vagy (2) helyzet és módszer, amely véletlenül kiválthat egy sebezhetıséget. A veszélyforrások vizsgálata a rendszer sebezhetıségeinek viszonylatában, annak meghatározására, hogy milyen veszélyekkel kell számolni egy rendszer esetén egy adott mőködési környezetben.


213


3.2. Részletes kockázatelemzés Az informatikai biztonsági vizsgálat olyan elemzı és értékelı jellegő szakértıi vizsgálat, amelynek fı célkitőzése az informatikai rendszerben kezelt adatok biztonságának elemzése. Ennek során a védelmi célokkal, a teljes rendszer biztonsága kerül feltérképezésre. A kockázatelemzés után az elviselhetetlen kockázatot jelentı fenyegetések kerülnek kimutatatásra. A vizsgálat során kockázatkezelési és intézkedési javaslatok is készülhetnek. A vizsgálatot végezhetik belsı ellenırök vagy külsı szakértık, illetve akkreditált auditorok. Az informatikai biztonság átfogó, a szervezet egészére, ágazataira, igazgatóságaira, számítóvagy szolgáltató központjaira, az informatikai stratégiában meghatározott rendszereire és alkalmazásaira kiterjedı ellenırzése során a szervezet által elfogadott kockázatelemzésen alapuló módszertant kell felhasználni. Az itt leírt kockázatelemzési módszertan a Miniszterelnöki Hivatal informatikai Tárcaközi Bizottsága (továbbiakban: MeH ITB) 8. számú ajánlásán alapul, amely a brit kormány informatikai központja által elfogadott CRAMM és a német Információtechnikai Biztonsági Szövetségi Hivatal módszertanainak adaptációja. A kockázatelemzésen alapuló módszer egy olyan modellen nyugszik, amelynek a középpontjában a védendı alapérték, az informatikai rendszerben kezelt adatok által hordozott információk állnak. Ezeket a környezetüket alkotó rendszerelemek veszik körül. A támadások általában nem közvetlenül érik az adatokat, hanem az azokat "körülvevı" rendszerelemeken keresztül. A fenyegetı

tényezık,

illetve veszélyek

az

informatikai

rendszerelemekhez

kapcsolódnak és azokon keresztül okozhatnak károkat mind a kezelt adatra, mind az alkalmazásra, miután az informatika-alkalmazás függ a rendszerelemektıl. Éppen ezért valamennyi olyan rendszerelemet vizsgálni kell, amelyektıl az informatikai rendszer mőködése és valamilyen módon az alkalmazásai függnek, és amelyeket valamely fenyegetı tényezı vagy veszélyforrás közvetett, illetve közvetlen módon érinthet. Az adatot, mint a támadások alapvetı célját a következı rendszerelemek veszik körül:

Tárgyiasult elemcsoportok:

214

̶

környezeti infrastruktúra, ̶

hardver,


Az informatikai biztonság irányításának vizsgálata ̶

adathordozók, ̶

dokumentumok, iratok.

Logikai elemcsoportok: ̶

szoftver, ̶

adatok, ̶

kommunikáció.

Személyi elemcsoport: ̶

üzemeltetı személyzet, ̶

felhasználók, ̶

ellenırök.

A kockázat mértékét az egy adott idıtávon belül felmerült fenyegetések gyakorisága és a védendı érték által hordozott kárérték szorzata határozza meg. Adott kockázati szinten a védelem erıssége szabja meg a "sikeres" fenyegetések, támadások valószínőségét és az ezek során okozott kár összegét. Mivel a "sikeres" fenyegetések, támadások valószínőségét gyakorlatilag nem lehet nullára csökkenteni, minden szervezetnek meg kell határoznia azt a minimális kockázati értéket, azaz egy adott idıtávra vetített kár-összeget, amelyet még el tud viselni, és ez határozza meg a szükséges védelmi szintet. A vizsgálati módszer lépései azt célozzák meg, hogy végül össze lehessen rendelni minden rendszerelemhez a releváns fenyegetéseket, azok gyakoriságát és a védendı értékre jellemzı és a vele funkcionális kapcsolatban levı rendszerelemekre vetített kárértéket. Az elviselhetı kockázati határ ismeretében minden releváns fenyegetésre és minden felmért rendszerelemre már minısíthetık a kockázatok.

A módszertan szakaszainak és lépéseinek részletes leírása A kockázatelemzési folyamat – tartalmának megfelelıen – eljárási szakaszokra, azon belül pedig lépésekre bontható. Az eljárás négy szakaszból áll, amelyeket a következı ábrán szemléltetünk:


215


I. szakasz: A védelmi igény feltárása

II. szakasz: Fenyegetettség-elemzés

III. szakasz: Kockázatelemzés

IV. szakasz: Kockázat-menedzselés

2. ábra: Az eljárás szakaszai

Az elsı szakaszban a szervezet szempontjából kiválasztásra és behatárolásra kerül a további vizsgálódások tárgya. Ehhez meg kell állapítani, hogy mely informatikai szolgáltatások érdemesek a védelemre értékük alapján. A második szakaszban feltárásra kerülnek mindazon fenyegetı tényezık, amelyek az elsı szakaszban kiválasztott informatika-alkalmazásokra veszélyesek lehetnek. Ennek során vizsgálni kell az informatikai rendszer úgynevezett sérülékenységeit. A harmadik szakaszban értékelésre kerül, hogy milyen káros hatása lehet a fenyegetı tényezıknek az informatikai rendszerre, azaz mely kockázatok állnak fenn. A negyedik szakaszban a fenyegetı tényezık elleni intézkedések kiválasztása és hatásaik értékelésére kerül sor. Ennek során el kell dönteni, mely intézkedések vehetık figyelembe és milyen maradványkockázatok viselhetık el. Minden egyes szakasz lezárásakor tájékoztatni kell a felelıs vezetıt annak eredményeirıl. Az eredményeket a további munkákba be kell építeni.

216


Az informatikai biztonság irányításának vizsgálata A négy szakaszt 13 lépésre osztjuk. A 3. ábra az egész eljárást mutatja be a szakaszok és lépések összetartozásának feltüntetésével. Egyes lépéseket szükség szerint meg kell ismételni, amint ez az ábrán is látható. Ezeket a visszacsatolásokat az egyes lépésekhez tartozó kifejtésekben is bemutatjuk. Az elsı lépésben feltérképezzük az informatika-alkalmazásokat és a feldolgozandó adatokat. A második lépésben meghatározzuk a feltárt alkalmazások és adatok védelmének céljait. Ehhez a három alapfenyegetettség (a bizalmasság, a sértetlenség és a rendelkezésre állás elvesztése) szempontjából értékeljük azokat. A harmadik lépésben valamennyi rendszerelemet feltérképezzük, amelyek a kiválasztott informatika-alkalmazás érdekében alkalmazásra kerülnek. A negyedik lépésben meghatározzuk, mely alapfenyegetı tényezıknek van jelentıségük a fenti rendszerelemek szempontjából. Az ötödik lépésben minden egyes fenyegetı tényezıt meghatározunk, amelyek az informatika-alkalmazást veszélyeztethetik. A hatodik lépésben a fenyegetett rendszerelemekhez un. kárértéket rendelünk, amely az informatika-alkalmazás értékébıl vezethetı le. A hetedik lépésben megbecsüljük azt a gyakoriságot, amellyel valamely kár bekövetkezése valószínősíthetı. A nyolcadik lépésben a kárból és a gyakoriságból vezetjük le a kockázatot. A kilencedik lépésben olyan intézkedéseket választunk, amelyek célja a kockázatok elviselhetı mértékőre csökkentése. A tizedik lépésben megvizsgáljuk, hogyan hatnak ezek az intézkedések egymásra, a kockázatokra, a költségekre és a szervezet mőködésére. A tizenegyedik lépésben az intézkedések költségei, illetve haszna közötti viszonyt vizsgáljuk. A tizenkettedik lépésben megvizsgáljuk, hogy a fennmaradó kockázat elviselhetı-e. Ennek során a meglévı kockázatot vetjük össze a várható kockázattal.


217


I. szakasz 1. lépés: Az informatika-alkalmazások és a feldolgozandó adatok feltérképezése

2. lépés: Az informatika-alkalmazások és a feldolgozandó adatok értékelése

II. szakasz 3. lépés: A fenyegetett rendszerelemek feltérképezése

4. lépés:Az alapfenyegetettség meghatározása

5.lépés: A gyenge pontok és a fenyegetı tényezık meghatározása

III. szakasz 6. lépés: A fenyegetett rendszerelemek értékelése

7. lépés: A károk gyakoriságának meghatározása

8. lépés: A fennálló kockázat meghatározása, leírása

IV. szakasz 9. lépés: Az intézkedések kiválasztása

10. lépés: Az intézkedések értékelése

11. lépés: A költség/ haszon arány elemzése

12. lépés: A maradványkockázat elemzése

13. lépés: Akcióterv kidolgozása és jóváhagyása az ellenırzıtt intézkedések megvalósítására

3. ábra: Az eljárás folyamata 218


Az informatikai biztonság irányításának vizsgálata A tizenharmadik lépésben akciótervet kell készíteni a megvalósítandó intézkedésekrıl. A 4. ábra az egyes lépések kapcsolatait és az általuk reprezentált tevékenységek alkalmazók, illetve informatikai szakemberek közötti megoszlását mutatja be. Az egyes lépések leírása tömörségre törekszik. A rövid ismertetés után a lépések lebonyolításához szükséges háttérismeretek és a lebonyolítás feladatai következnek. Az adott lépést segítı listák, illetve nyomtatványok felsorolása zárja a leírást. A bemutatást mind a szakaszok, mind a lépések esetében egységes szerkezető leírások szolgálják a következık szerint. A szakaszleírások felépítése: ̶

a szakasz áttekintése, ̶

a szakasz elızménye (amennyiben az nem az eljárás elızı szakasza), ̶

a szakasz eredménye, ̶

kapcsolódási pontok, ̶

a szakasz lebonyolítása. A lépésleírások felépítése: ̶ ̶ ̶ ̶ ̶ ̶

áttekintés, segédletek (amennyiben rendelkezésre állnak), résztvevık, eredmény, kapcsolódási pontok, lebonyolítás.


219

Az informatikai biztonság irányításának vizsgálata I. szakasz

II. szakasz 1.lépés

3.lépés

Az informatika-alkalmazások és a feldolgozandó információk feltérképezése

A fenyegetett rendszerelemek feltérképezése

4.lépés Az alapfenyegetettség meghatározása

5.lépés A fenyegetõ tényezõk meghatározása

III. szakasz 2.lépés Az informatika-alkalmazások és a feldolgozandó információk értékelése

6.lépés A fenyegetett rendszerelemek értékelése

7.lépés A károk gyakoriságának meghatározása

IV. szakasz 9.lépés

8.lépés

Az intézkedések kiválasztása

A fennálló kockázatok meghatározása, leírása

11.lépés

10.lépés

A költség/haszon arány elemzése

Az intézkedések értékelése

12.lépés A maradványkockázat elemzése

13.lépés Akcióterv kidolgozása és jóváhagyása az ellenırzött intézkedések megvalósítására

Alkalmazók

Informatikai szakemberek

4. 4. ábra Az eljárás lépéseinek összefüggései

I. szakasz: a védelmi igény feltárása A szakasz áttekintése: E szakaszban valamennyi adott informatika-alkalmazás és feldolgozandó adat közül ki kell választani azokat, amelyek az adott szervezet számára jelentıséggel bírnak, így védelmet igényelnek. Ehhez az alkalmazónak kell megállapítania, milyen védelmi célokat tőz maga elé a három alapfenyegetettség vonatkozásában. A védelmi igény megállapítása két lépésben történik: Elsı lépés: az informatika-alkalmazások és a feldolgozandó adatok feltérképezése; Második lépés: az informatika-alkalmazások és a feldolgozandó adatok értékelése.

220


Az informatikai biztonság irányításának vizsgálata Elızmények: ̶

a szervezet informatikai stratégiája, ̶

a szervezet biztonsági stratégiája, szabályzata. A szakasz eredménye: ̶

az alkalmazó védelmi céljainak leírása, ̶

a skálaértékek speciális jelentésének leírása a különbözı károkra vonatkozóan, ̶

az informatika-alkalmazások, szolgáltatások és információk listája hozzárendelt skálaértékekkel az alapfenyegetettségek vonatkozásában.

Kapcsolódási pontok A feltérképezés és az értékelés e szinten tisztán felhasználói célból történik, nevezetesen az informatikai szolgáltatásokat felhasználó szemszögébıl. Ennek során az informatikai mérlegelések semmiféle szerepet nem játszanak. Ezek a szempontok csak a fenyegetettség- és a kockázatelemzés során lépnek be. A pótlólagos intézkedések kiválasztását sem vesszük figyelembe ennek a szakasznak a tárgyalása során. Ez a munkafázis, részben vagy egészben, a biztonsági projektek kijelölésével együtt az informatikai stratégiai tervezés fázisában elvégezhetı, a stratégiai tervezési folyamat kereteitıl függı részletességgel. A szakasz lebonyolítása Elsıként vázlatos megközelítésben be kell határolni, és fel kell tárni valamennyi informatika-alkalmazást és valamennyi feldolgozandó információt. Ugyanakkor a teljességre különös súlyt kell fektetni, mert az a további lépések során már nem biztosítható. Egy ilyen kezdeti osztályozás megkönnyíti az áttekintést. A második lépés megvalósítása során a felosztás elvileg még finomítható, nevezetesen a különbözı értékő területek egymástól elválaszthatók és elkülönítve szerepeltethetık. A kockázatelemzés befejezése, lezárása után egy további, még finomabb megkülönböztetés válhat szükségessé. Az informatika-alkalmazások értékét egy ötrészes skálán ábrázolhatjuk, mérhetjük fel, amelyek értéktartományát a felhasználónak kell megállapítania. Ezek segítségével lehet azután a károkat hozzávetılegesen osztályozni. Az informatika-alkalmazások és adatok


221

Az informatikai biztonság irányításának vizsgálata értékeléséhez nincs valamiféle egyszerő, általánosan érvényes koncepció. Az értékeket csak maga az alkalmazó állapíthatja meg. Az értékelés során mindenekelıtt saját biztonsági adottságait és követelményeit kell figyelembe vennie. Az ehhez szükséges átgondolást megkönnyítik az 1.7. pont segédletei. Ha az informatika-alkalmazások és adatok értéke - a második lépésben - kimagaslóan nagy bizonytalansági tényezıkkel terhelt, meg kell ismételni az értékelést. A feladat megoldásához szükséges döntéseket a szervezet felsı-, illetve informatikai vezetése szintjén kell meghozni. A döntések elıkészítésében, a szükséges elemzések elvégzésében biztonsági szakértıi támogatás válhat szükségessé. Az együttmőködés során az informatikai biztonsági szakértıktıl származó ismeretek az alapértékek és értelmezésük, az adatok és a feldolgozási folyamatok leírásának módja, míg az informatikai szakemberektıl származó ismeretek a védendı adatok és szolgáltatások, valamint azokhoz értékek rendelése. Az értékelés során meghatározható, sıt meghatározandó, milyen célból és milyen mértékben ésszerő és szükséges egy fenyegetettség- és kockázatelemzés. Ez a CRAMM módszertana szerint szőkített elemzést jelent. Akkor van ennek jelentısége, ha az informatikaalkalmazások csekély értéket képviselnek a szervezet egyéb mőködéséhez viszonyítva. A nagy értékő informatika-alkalmazások és adatok pontos, mindent feltáró módon keresztülvitt fenyegetettség- és kockázatanalízist követelnek. Az elsı lépések eredményeitıl függıen határozhatók meg a további lépések végrehajtásának ráfordításai. Az elsı szakasz lezárása során a szakasz eredményeit a résztvevık és felelısök körében be kell mutatni, ellenırizni kell és ítéletet kell alkotni róluk. A

különbözı

informatika-alkalmazások

eredményeinek

összehasonlíthatósága

érdekében szükséges az összmőködésért felelısök (vezetı munkatársak, a cégvezetés, az igazgatási

szerv

vezetése,

hatósági

vezetés,

intézményigazgatók,

döntıbizottság,

projektvezetés) bevonása. Csak akkor szabad elkezdeni a II. szakaszt, amennyiben a fenti eredményeket már elfogadták projektvezetési szinten. Megjegyzés: Az elsı szakasz gyakorlatilag az informatikai stratégiai tervezés "hol vagyunk" kérdésére ad választ. Célszerő összehangolni, illetve közösen végrehajtani ezt a szakaszt az informatikai stratégiai tervezés projektjének alárendelve. 1. lépés: Az informatika-alkalmazások és a feldolgozandó adatok feltérképezése Áttekintés 222


Az informatikai biztonság irányításának vizsgálata Az informatikai biztonsági koncepció létrehozásának alapja mindannak az informatikaalkalmazásnak, feldolgozott adatnak teljes körő felmérése, amelynek biztonságát a projekt révén garantálni kívánjuk annak érdekében, hogy ezek sérülése vagy hiánya a szervezet mőködését ne akadályozza vagy veszélyeztesse. Az 1. lépés megvalósítása a következı feladatokra bontható: 1. feladat:

Az informatika-alkalmazások feltérképezése;

2. feladat:

Igény esetén a különleges szolgáltatások feltérképezése;

3. feladat:

Az

informatikai

rendszerben

feldolgozásra

kerülı

valamennyi

adat

feltérképezése. Segédletek: ̶

tipikus informatika-alkalmazások (1.7.1. pont) ̶

nyomtatvány a feladat végrehajtásához (1.7.2. pont) Résztvevık: ̶

az informatika alkalmazói, ̶

informatikai biztonsági szakértı. Eredmény:

a szervezet feladatait érintı informatika-alkalmazások, szolgáltatások és adatkörök listája. Kapcsolódási pontok: Az 1. lépés elıfeltétele az informatikai biztonsági projekt megindítására szóló írásbeli vezetıi megbízás vagy a projekt alapító okirat. A projekt elıkészítése során megtörtént a célok kitőzése, a feladat behatárolása, a résztvevık kijelölése és a végrehajtás feltételeinek biztosítása. A végrehajtás során felhasználásra kerül a szervezet informatikai stratégiája, jelenlegi, illetve tervezett informatikai rendszerének leírása, rendszerterve. Az 1. lépés eredménye a teljes eljárás alapját képezi, közvetlenül pedig a 2. és a 3. lépés során nyer felhasználást. Lebonyolítás Térképezze

fel

valamennyi

informatika-alkalmazást,

az

esetleges

különleges

szolgáltatásokat és a feldolgozandó adatokat, amelyek biztonságát majd meg kell ítélnie. Magyar Informatikai Biztonság Irányítási Követelményrendszer

223

Az informatikai biztonság irányításának vizsgálata Ehhez használja az 1.7.2. pontban megadott nyomtatványmintát. Mindennek során az alkalmazásokat és az adatokat alkalmazás-technikai és üzemviteli szempontból, nem pedig az informatika szempontjából írja le. Az alkalmazások és adatok leírásából célszerő, hogy kitőnjenek a szervezet ide tartozó feladatai. Az informatika-alkalmazásokra vonatkozó példák listája az 1.7.1. pontban található meg. Az informatikát eszköznek kell tekinteni, amely szolgáltatásokat nyújt felhasználója számára. 2. lépés: Az informatika-alkalmazások és a feldolgozandó adatkörök érzékenységi értékeinek meghatározása Áttekintés Ennek a lépésnek a feladata meghatározni, hogy az 1. lépés során feltérképezett rendszerelemek mely alapfenyegetettségekkel szemben és milyen mértékben képviselnek értéket. A kizárólag a bizalmasság terén érvényes adatminısítés (államtitok, stb) szintén itt (a további kárértékbecsléshez képest kiemelt módon) történhet, valamint ide tartozik a hitelesség, és a le nem tagadhatóság által képviselt értékek megırzése. A lépés arra a kérdésre ad választ, hogy hogyan értékelhetı a kár, ha belépnek az alapfenyegetı tényezık. A 2. lépés megvalósítása a következı feladatokra bontható: 1. feladat:

A felhasználó védelmi céljainak leírása;

2. feladat:

Az ötrészes értékskála rögzítése;

3. feladat:

Az értékek hozzárendelése az informatika-alkalmazásokhoz és az adatokkörökhöz.

Segédletek: ̶

Tipikus informatika-alkalmazások és azok alapfenyegetettségi kérdései (1.7.1. pont) ̶

Kárkövetkezmények és azok értékelési rendszere (1.7.2. pont, IBIK).

224


Az informatikai biztonság irányításának vizsgálata Résztvevık: ̶

az informatika alkalmazói. Eredmények: ̶

a felhasználó védelmi céljainak leírása ̶

a skálaérték speciális jelentésének leírása Az informatikai alkalmazások és adatkörök hozzárendelt skálaértékkel rendelkeznek a

három alapfenyegetettség vonatkozásában A leíró táblázat struktúrája a következı:

Sor-

Az adatkör

szám

megnevezése

Bizalmasság

Sértetlenség

Rendelkezésre állás

értéke

….

Kapcsolódási pontok: ̶

az 1. lépés eredménye, ̶

ha az értékelés során különbözı értékek jelennek meg, vissza kell térni az 1. lépéshez. Lebonyolítás 1. feladat: A felhasználó védelmi céljainak leírása Le kell írni, hogy a felhasználók milyen védelmi célokat jelölnek meg a három

alapfenyegetettségen belül, azoknak az informatika-alkalmazásaikra való hatását és a feldolgozandó adatokat illetıen. Például megkövetelhetı, hogy egy alkalmazás ne essen ki egy napnál hosszabb idıre. Az is megkövetelhetı, hogy bizonyos adatok csak az adott szervezet keretein belül Magyar Informatikai Biztonság Irányítási Követelményrendszer

225

Az informatikai biztonság irányításának vizsgálata válhassanak ismertté, vagy hogy valamely informatikai rendszer felhasználói névtelenek maradjanak. Ezen követelmények okait a harmadik feladat elıkészítése érdekében kell leírni. A harmadik feladatnál ugyanis azon eset következményeirıl kell majd beszélni, amikor az elıre megadott védelmi célok nem érhetık el vagy azokat még nem érték el. A védelmi célok leírásához tartozik a következık rögzítése is ̶

ki, mikor, hogyan és mely adatokhoz juthat hozzá, ̶

mi nem történhet meg az adatokkal és ̶

ki, milyen körülmények között változtathatja meg a rögzített hozzáférési jogokat.

2. feladat: Az ötrészes értékskála rögzítése A következı feladat egy értékskála kialakítása, amely alapján a meglévı, illetve megvalósítandó informatikai rendszer jelentısége, értéke meghatározható. A károknak a jelentéktelentıl a kiemelkedıig terjedı nagysága általában öt értékkategóriában fejezhetı ki. A különbözı kártípusok esetén az értékskála kialakításához az Informatikai Biztonság Irányításának Követelményrendszerében található minta nyújt segítséget. A skála szükség esetén a „4+” „különleges” értéket is tartalmazhatja.

"4":

kiemelkedı,

"3":

nagy,

"2":

közepes,

"1":

csekély,

"0":

jelentéktelen.

A "0" alsó érték jelentése általában: jelentéktelen, elhanyagolható kár. A "4" felsı érték jelentése általában: egzisztenciálisan veszélyes kiemelkedı kár. A "4+" különleges érték olyan katasztrofális káresetekre vonatkoztatható, amelyek akár a legcsekélyebb bekövetkezési gyakoriság esetén is elviselhetetlenek és minden körülmények között meg kell, hogy akadályozzuk azokat. Az egyes skálaértékek a károk nagyságrendje szerint tagoltak. Ugyanezt a skálát használjuk a hatodik lépésben is. Ez az értékskála hozzávetılegesen exponenciális, a becsült kárértékekkel egyenesen arányos– és ezért több mint öt részbıl álló – skála ugyan nagyobb pontosságot eredményezhetne, de a legtöbb esetben nem tükrözné hően az értékek becsült voltát.

226


Az informatikai biztonság irányításának vizsgálata Különbözı felhasználóknál például az azonos forint összegek különbözı jelentıséggel rendelkeznek. Éppen ezért az öt skálaérték konkrét jelentését minden egyes felhasználónak a saját alkalmazói területére magának kell meghatároznia. A "0" és "4" szélsıértékek (valamint a "4+" különleges érték) jelentését úgy kell megállapítani, hogy az alkalmazói területre vonatkozó általános jelentésüket legalábbis példaszerően konkretizálja. Ehhez segítséget jelenthetnek, az 1.7.1. pontban szereplı kérdések. A pontosított szélsı értékekbıl kiindulva kell azután konkrét jelentéssel felruházni az 1, 2 és 3 közbensı értékeket úgy, hogy azonos mértékő eltérés legyen a 0-4-ig terjedı számok jelentése között. Az értékek jelentését nemcsak az olyan károk esetére kell rögzíteni, amelyek meghatározott pénzösszeggel számszerősíthetık, hanem minden egyes aspektusra vonatkozóan meg kell határozni azokat is, amelyek esetében pénzzel ki nem fejezhetı károk is bekövetkezhetnek (1.7.2. pont) 3. feladat: Az értékek hozzárendelése az informatika-alkalmazásokhoz és az adatokhoz A következı feladat végrehajtása során mindegyik alkalmazáshoz és adathoz egy kárértéket kell rendelni az alapfenyegetettségek, azaz ̶

a bizalmasság elvesztése, ̶

a sértetlenség elvesztése, ̶

a rendelkezésre állás elvesztése eseményének bekövetkezése esetén. Valamennyi olyan szempontot meg kell vizsgálni, amelyekbıl kiderül, hogy az

informatika-alkalmazásoknak milyen értéke van, és amely értéket valamely fenyegetı esemény bekövetkezése csökkenthet, vagy teljesen megsemmisíthet. Ehhez figyelembe kell venni a károk minden fajtáját, amelyek valamely személy, csoport, szervezet vagy annak bármely egysége számára jelentıs (1.7.1. és 1.7.2. pont, IBIK). Az értékelı eljárásnak az informatika-alkalmazásnak és a feldolgozandó adatoknak a szervezet érdekei szempontjából mérlegelt jelentıségébıl kell kiindulnia. Például általában valamennyi informatika-alkalmazás kritikus, amelyektıl teljes mértékben függ az adott szervezet mőködése, ha nem áll fenn valamilyen alternatív megoldás lehetısége. Figyelni kell arra, hogy milyen függıségek állnak fenn a szervezet különbözı feladatai között. Egy önmagában nézve kevésbé jelentıs alkalmazás lényegesen felértékelıdhet, ha valamely fontos másik alkalmazás ennek eredményeire rá van utalva. Vizsgálni kell a szervezet általános


227

Az informatikai biztonság irányításának vizsgálata biztonsági irányelveibıl adódó következtetéseket is. Végül figyelembe kell venni ebben az összefüggésben a szerzıdéses kötelezettségeket is. Az adatbázis-rendszerek esetében fordul elı tipikus módon annak a lehetısége, hogy a hozzáférhetı adatok ügyes kombinálásával (aggregálás, profilképzés) olyan információra bukkanjanak, amely bizalmas természető. Ez a személyekre vonatkozó adatok esetében az anonimitás veszélyeztetéséhez vezethet, ami ellentétben áll az adatvédelmi törvény elıírásaival. Az összkár a közvetlen kárból, a következményes kárból és a kár késıbbi korlátozásának vagy elhárításának ráfordításaiból tevıdik össze. Maga az a lehetıség, hogy egy kárt felfedezhetünk és az az idı, amely a kár bekövetkeztétıl a felfedezéséig eltelik, a kár nagyságát befolyásolhatja. Ez a probléma különösen az adatok sértetlenségének, bizalmasságának elvesztése esetén jelentıs, miután ez a veszteség általában nem, vagy csak közvetett módon, hosszú idı elteltével derül ki. Értékelni kell tehát minden kárt, és ezen értékelés eredményeként mindegyikükhöz hozzá kell rendelni egyet a skála 0-4 közötti értékeibıl, vagy a 4+ különleges értéket. Ennek során nincs jelentısége, hogy milyen pénzbeli vagy egyéb kárfajtáról van szó, s annak sem tulajdonítunk jelentıséget, hogy ezek mely alapfenyegetettségre vonatkoztathatók. Az ugyanolyan értékeléső károknak hasonló jelentıségőeknek kell lenniük. Az eggyel nagyobb skála-értékő károknak a szervezet számára legalább egy nagyságrenddel jelentısebbeknek kell lenniük. Egy olyan kárt tehát, amely bizonyosan legalább 1 millió Ft összegő, eggyel magasabb számmal kell jelölnie, mint azt, amely „csak” 100 ezer Ft nagyságrendő. Azt a különleges esetet, amikor is egy informatika-alkalmazást vagy az információk valamely fajtáját egy alapfenyegetettség vonatkozásában már nem veszünk figyelembe a továbbiakban, jóllehet egy másik alapfenyegetettséghez besorolva jól definiált skálaértéke van, a listában külön meg kell jelölni. Például az adat valamely formájának egy adott pillanatban (például tızsdei kurzusok) a sértetlenség szempontjából szignifikáns értéke lehet, a késıbbiekben viszont szükségtelennek bizonyulhat, hogy a megbízhatóság aspektusát is vizsgáljuk.

II. szakasz: fenyegetettség elemzés A szakasz áttekintése A fenyegetettség elemzés során fel kell tárni valamennyi elképzelhetı fenyegetı tényezıt, amelyek kárt okozhatnak az informatikai rendszerben, s ezzel az informatika-alkalmazásban vagy az adatokban. Különösen ügyelni kell arra, hogy egyetlen fontosabb fenyegetı tényezıt

228


Az informatikai biztonság irányításának vizsgálata se hagyjunk ki, miután a kockázatelemzés ennek eredményeire épül, és a teljeskörőség hiánya a biztonsági koncepció súlyos hiányosságához vezethet. A fenyegetettség elemzés a következı három lépésbıl áll: Harmadik lépés:

A fenyegetett rendszerelemek feltérképezése;

Negyedik lépés:

Az alapfenyegetettségek meghatározása;

Ötödik lépés:

A fenyegetı tényezık meghatározása.

Elızmény: ̶

a szervezet informatikai biztonságpolitikája. A szakasz eredményei: ̶

a rendszerelemek listája az alapfenyegetettségek megadásával, ̶

az informatika-alkalmazások és adatok más rendszerelemektıl való függıségeinek leírása, ̶

rendszerelemenként a gyenge pontok leírása, ̶

az érvényes védelmi intézkedések leírása, ̶

az érvényes védelmi intézkedések kölcsönhatásainak leírása, ̶

a releváns fenyegetı tényezık listája, ̶

a releváns fenyegetı tényezık hozzárendelése a rendszerelemekhez és az alapfenyegetettségekhez. Kapcsolódási pontok Az I. szakasz eredményeire építve feltérképezik azokat a rendszerelemeket, amelyektıl

az informatika-alkalmazások és az információ-feldolgozás megvalósítása függ, és amelyekre a fenyegetı tényezık hatással lehetnek. Itt csupán kiválasztják a rendszerelemeket és a fenyegetı tényezıket, de még nem kerül sor a fenyegetı tényezık és a rendszerelemek értékelésére (ez már a kockázatelemzés). A szakasz lebonyolítása A fenyegetettség elemzés során az azt végzık meghatározzák a finomságnak azt a fokát, amellyel az objektumokat és a fenyegetı tényezıket vizsgálni kell. Ebbıl adódik azután, hogy


229

Az informatikai biztonság irányításának vizsgálata milyen számú rendszerelemet és fenyegetı tényezıt kell értékelni, és ez utóbbiak közül melyek ellen kell intézkedéseket tenni. A feltárt, feltérképezett rendszerelemek és fenyegetı tényezık száma nagymértékben befolyásolja, hogy milyen költséges a további lépések megvalósítása. Amennyiben a vizsgálatra szánt ráfordítás csekély, akkor a rendszerelemek és a fenyegetı tényezık csak durva megközelítéssel térképezhetık fel. Nagyobb ráfordítást feltételez, ha a rendszerelemeket és a fenyegetı tényezıket részletesebben kívánjuk feltérképezni. Ez a ráfordítás azonban elkerülhetetlen, ha nagy értékekrıl van szó vagy különleges veszélyhelyzetek is feltételezhetık. A rendszerelemek és fenyegetı tényezık listáját (1.7.3., 1.7.4. és 1.7.5. pontok) – igény szerint – rövidíthetjük, vagy bıvíthetjük, illetve finomíthatjuk. Figyelnünk kell rá, hogy a rendszerelemek, és a fenyegetı tényezık listája szinkronban legyen, azaz a rendszerelemeket és a fenyegetı tényezıket azonos részletezettséggel kell vizsgálnunk. Ésszerő egyes rendszerelemeket részeikre felosztani, ha a fenyegetı tényezık csak ezekre a pontosan meghatározható részekre hatnak. Ezért a szakasz három lépését (a harmadik, negyedik és ötödik lépést) általában többször kell elvégezni, hogy a kívánatos összhang elérhetı legyen a rendszerelemek és a fenyegetı tényezık részletezettségében. A második szakasz lezárása során ezen rész eredményeit a résztvevıknek és a felelısöknek együttesen kell felülvizsgálni és megítélni. A kockázatelemzés (a harmadik szakasz) csakis akkor kezdhetı el, ha a második szakasz eredményeit már minden érdekelt elfogadta. 3. lépés: A fenyegetett rendszerelemek feltérképezése Áttekintés A lépés során adatfeldolgozási folyamatok személyi, dologi és környezeti elemei, valamint ezek egymástól való függısége kerül felmérésre és rögzítésre. A 3. lépés megvalósítása során a következı feladatokat kell végrehajtani: 1. feladat:

A rendszerelemek feltérképezése,

2. feladat:

A rendszerelemek kölcsönös függıségeinek leírása.

Segédletek: ̶

a rendszerelemek listája (1.7.3. pont), ̶

nyomtatvány a rendszerelemek feltérképezéséhez és értékeléséhez (1.7.3. pont). Résztvevık:

230



informatikai szakszemélyzet (feldolgozó, szervezı, koordinátor), ̶

informatikai biztonságtechnikai szakértık. Eredmények: ̶

azon rendszerelemek listája (1.7.3. pont szerint), amelyek fenyegetı tényezıknek vannak kitéve és ezért védelemre szorulnak, ̶

az informatika-alkalmazások rendszerelemektıl való függıségének leírása. Kapcsolódási pontok: ̶

az 1. lépés eredménye, ̶

az informatikai rendszerelemek (erıforrások), ezen belül a kommunikációs eszközök leírása, ̶

az infrastrukturális, a szervezeti és a személyzeti környezet leírása.

Fontos megjegyezni, hogy anélkül, hogy a rendszerelemeket legalább nagy vonalakban feltártuk volna, még egy elıre megtervezett informatikai rendszer-bevezetés esetében sem végezhetjük el a fenyegetettség elemzését. Ez feltételezi az informatikai rendszerelemzés eredményeit, amelyet már az informatika-alkalmazás tervezése során végre kell hajtani. Lebonyolítás 1. feladat: A rendszerelemek feltérképezése Az elsı lépés eredményeibıl kiindulva fel kell térképezni az informatikai rendszer minden elemét, majd azokat be kell sorolni a következı csoportokba: ̶

építészeti környezet, ̶

személyi és szervezeti környezet, ̶

dokumentumok (kézikönyvek, dokumentációk stb.), ̶

hardver, ̶

szoftver, ̶

adathordozók,


231


kommunikáció és ̶

egyéb, az informatika-alkalmazás megvalósítását szolgáló elemek. Az informatikai rendszer mőszaki behatárolása során fontos az izolált és a hálózatba

kötött rendszerek megkülönböztetése. Hálózatba kötött rendszerek esetében ̶

vagy be kell vonni az elemzésbe a kommunikációs hálózatokat is, ̶

vagy pontosan le kell írni a rendszer és a kommunikációs hálózat kapcsolódási pontjait. Ehhez a hálózattal szemben támasztott követelményeket is specifikálni kell. A rendszerelemek különleges osztályaként kell feltérképezni azokat, amelyek valamely

védelmi intézkedés részeinek tekinthetık (például olyan berendezéseket, amelyek a számítógépes helyiségekbe a belépést ellenırzik, a biztonsági hardvereket és szoftvereket, dokumentumokat és a szükséghelyzet esetére készült szabályozásokat). A rendszerelemeket elıször nem részletezve, de teljeskörően kell feltérképezni, mert a teljeskörőség késıbb már nem biztosítható, csak a rendszerelemek listája finomítható az 5., 6., 7. vagy 9. lépést követıen. A releváns állapot csak a kockázatelemzés után rögzíthetı. A rendszerelemeket az 1.7.3. pont segítségével kiválasztva a minta szerinti nyomtatványon kell rögzíteni. Egy rendszerelem a listán csak egyszer szerepelhet.

232


Az informatikai biztonság irányításának vizsgálata 2. feladat: A rendszerelemek kölcsönös függıségeinek leírása Le kell írni szöveges formában az informatika-alkalmazások, szolgáltatások, illetve adatok és a rendszerelemek közötti függıségeket. Példa: A bér- és kereseti adatok feldolgozása 5 db xx típusú munkaállomáson folyik, amelyeket az yy cég gyártott a zz verziójú ww üzemi rendszerrel, a qq verziójú tt szoftvercsomaggal, amelyet a kk szoftverház állított elı ... és így tovább.

4. lépés: Az alapfenyegetettség meghatározása Áttekintés A 4. lépés során történik meg az alapfenyegetettség felmérése valamennyi rendszerelemre kiterjedıen. A 4. lépés megvalósítása a következı feladatokra bontható: 1. feladat:

Az alapfenyegettetségek és a rendszerelemek összerendelése;

2. feladat:

Az összerendelések dokumentálása.

Segédletek: ̶

a rendszerelemek listája a lehetséges alapfenyegetettségekkel az 1.7.3. pont alapján. Résztvevık: ̶

az informatikai rendszer szakszemélyzete, ̶

az informatikai biztonságtechnikai szakértık. Eredmény: ̶

a rendszerelemek listája az egyes tételekhez rendelt alapfenyegettetségekkel. A leíró táblázat struktúrája a következı: A fenyegetett rendszerelem csoport

Melyik alapfenyegetettség releváns a rendszerelemcsoportra


a 2. lépés eredménye (az értékelt alkalmazások és adatok listája), ̶

a 3. lépés eredményei (a rendszerelemek listája és függıségük leírása).


233

Az informatikai biztonság irányításának vizsgálata Lebonyolítás A releváns fenyegetı tényezıket hozzá kell rendelni a rendszerelemekhez a 3. lépésben felállított listák szerint ̶

ha a rendszerelemlistákon lehetséges fenyegetésként vannak megjelölve, vagy ̶

ha az adott elemre kifejtett hatásukkal fenyegetik az egész informatika-alkalmazást vagy a feldolgozandó adatokat. Ebben a lépésben kell meghatározni azokat az alapfenyegetettségeket, amelyek

bekövetkezése az informatikai rendszer valamely, korábban feltérképezett eleménél valószínősíthetı. Ehhez meg kell jelölni az alapfenyegetettségeket a harmadik lépésben kitöltött

nyomtatványon.

Az

alapfenyegetettségek

általában

túlterjednek

közvetlen

hatáspontjukon: ̶

az

informatikai

szolgáltatásokról

azokra

a

rendszerelemekre,

amelyek

e

szolgáltatásokat biztosítják (és fordítva), ̶

az adatokról azokra a rendszerelemekre, amelyek funkciója az adatok kezelése (és fordítva). Csak azokat a rendszerelemeket kell megjelölni, amelyek valamelyik fenyegetı tényezı

révén, alapfenyegetettségnek vannak kitéve. Annak eldöntéséhez, hogy a feltérképezett rendszerelemek valamely alapfenyegetettségnek ki vannak-e téve, és a fenyegetés bekövetkezése a felhasználó számára jelentıs hatással van-e, segítséget nyújt az 1.7.1. pontban kialakított kérdés-lista, valamint az 1.7.4. pontban öszeállított függıségek. Például az egész hardver nem áll rendelkezésre, ha az áramellátás megszőnik. Ha ez konkrét környezetben merül fel és káros következményekkel jár, akkor ezt az "áramellátás" rendelkezésre állás oszlopában kell feltüntetni. Fel kell térképezni a fenyegetı tényezık, és az alapfenyegetettségek közötti összefüggéseket. Például a rendelkezésre állás elvesztése valamely tároló eszköznél a tárolt adatok konzisztenciáját, sértetlenségét is fenyegetheti. Az olyan rendszerelemek esetében, amelyek a védelmi intézkedések részét képezik, a rendelkezésre állás vagy a sértetlenség elvesztése általában a védelmi funkciók teljes kieséséhez vezet. Ez azt jelenti, hogy valamennyi ilyen rendszerelemet mindkét alapfenyegetettségre vonatkozóan jelölni kell.

234


Az informatikai biztonság irányításának vizsgálata 5. lépés: A fenyegetı tényezık meghatározása

Áttekintés Ezen lépés során történik meg a rendszerelemek gyenge pontjainak meghatározása, valamint a fenyegetı tényezıknek az alapfenyegettség-rendszerelem párosokhoz való hozzárendelése. Az 5. lépés megvalósítása során a következı feladatokat kell végrehajtani: 1. feladat:

Az informatikai rendszer gyenge pontjainak feltérképezése;

2. feladat:

A fenyegetı tényezık meghatározása.

Segédletek: ̶

a gyenge pontok és a fenyegetı tényezık listája (1.7.4. és 1.7.5. pontjai), ̶

feltérképezett rendszerelemek listája az 1.7.3. pont szerint, ̶

a 4. lépésben meghatározott rendszerelem-alapfenyegetettség táblázat. Résztvevık: ̶

az informatikai rendszer szakszemélyzete, ̶

informatikai biztonságtechnikai szakértık, ̶

szakemberek az adott intézkedések által érintett területekrıl. Eredmények: ̶

a gyenge pontok leírása, ̶

a releváns fenyegetı tényezık listája, ̶

a

meghatározott

fenyegetı

tényezık

hozzárendelése

a

feltérképezett

rendszerelemekhez és alapfenyegetésekhez.


235

Az informatikai biztonság irányításának vizsgálata A leíró táblázat struktúrája a következı: Melyik alapfenyegetettségre nézve releváns A fenyegetı tényezı megnevezése

A fenyegetett rendszerelem csoport

Kapcsolódási pont: ̶

a 4. lépés eredménye (a rendszerelemek listája a releváns alapfenyegetettségekkel). Ajánlatos a fenyegetı tényezık felsorolását követıen a rendszerelemek listáját

átvizsgálni. Így a védelmi intézkedéséket szem elıtt tartva ésszerőnek tőnhet, hogy egy-egy rendszerelemet több rész-rendszerelemre osszunk fel, amennyiben a fenyegetı tényezık csak egyes részegységekre tudnak hatni. Több rendszerelemet összevonhatunk un. közös rendszerelemmé is, ha ugyanazok a fenyegetı tényezık lehetnek hatással rájuk. De törekedni kell arra, hogy az egyes rendszerelemek felismerhetık maradjanak, miután indokolt finomításokra késıbb is szükség lehet. Ebben az esetben a 3. lépéshez kell visszatérnünk. Lebonyolítás 1. feladat: Az informatikai rendszer gyenge pontjainak feltérképezése Az 1.7.4. pont rendszerelem-csoportonként bemutatja a gyenge pontokat, s ez segítséget jelenthet a feladat megoldásában. 2. feladat: A fenyegetı tényezık meghatározása Ki kell választani az 1.7.5. pont segítségével azokat a fenyegetı tényezıket, amelyek a feltérképezett rendszerelemeket veszélyeztethetik. Ennek során figyelembe kell venni a gyenge pontokat. A szükséges védelmi intézkedések figyelembevétele nem itt, hanem a 9. lépésben, a védelmi intézkedések kiválasztása során történik. Ez lehetıséget biztosít arra, hogy a védelmi igény és a fennálló kockázatok függvényében a meglévı védelmi intézkedések létjogosultságát és hatásosságát kiértékeljük. Meg kell határozni minden egyes konkrét fenyegetı tényezıt, amely az informatikai rendszer környezetében felléphet és nemkívánatos módon hathat a feltérképezett rendszerelemekre. Azután hozzá kell rendelni ezeket a rendszerelemekhez és az alapfenyegetettségekhez, amelyeket érintenek, illetve amelyeket maguk okoznak. Egy-egy 236


Az informatikai biztonság irányításának vizsgálata fenyegetı tényezı több rendszerelemre is vonatkozhat, ennek ellenére az átfedések elkerülése érdekében csak egyszer célszerő felvezetni. Annak eldöntéséhez, hogy valamely fenyegetı tényezı releváns-e, egyfelıl a rendszerelemek gyenge pontjait, másfelıl pedig a már adott védelmi intézkedéseket kell figyelembe venni. Azon fenyegetı tényezık vizsgálata során, amelyek potenciális tettesektıl indulnak ki, célszerő a támadó nézıpontját átvenni, hogy behatolásának valamennyi lehetıségét fel lehessen térképezni. A következı kérdésfeltevéssel ellenırizhetı, hogy teljességében feltárultak-e a releváns fenyegetı tényezık. Gondoltunk-e: ̶

valamennyi feltérképezett rendszerelemre, különösen valamennyi adatra, ̶

a három alapfenyegetettség mindegyikére, ̶

a keletkezéstıl a megszőnésig terjedı fázisok mindegyikére, minden idıpontban, minden helyen és minden körülmények között?

III. szakasz: kockázatelemzés A szakasz áttekintése A kockázatelemzés során a feltárt fenyegetı tényezıket lehetséges kihatásaik szempontjából értékelik, s ebbıl vezetik le a fennálló kockázatokat. Ez jelenti az adott informatikai rendszer "hol vagyunk" állapotát, amelybıl kiindulva kell meghatározni a "hová igyekszünk" állapotot. A kockázatelemzés a következı három lépésbıl áll: Hatodik lépés: A fenyegetett rendszerelemek értékelése; Hetedik lépés: A károk gyakoriságának meghatározása; Nyolcadik lépés:

A fennálló kockázatok meghatározása és leírása.

Elızmény: ̶

a II. szakaszban rögzített eredmények. A szakasz eredményei: ̶

a gyakorisági skálaértékek jelentésének leírása, ̶

a rendszerelemek és a fenyegetı tényezık listája


237

Az informatikai biztonság irányításának vizsgálata o kárnagyság értékekkel, o gyakorisági értékekkel és o a kockázatok megjelölésével, ̶

kockázat-áttekintés, ̶

kockázati mátrix. Kapcsolódási pontok Azokat a rendszerelemeket és fenyegetı tényezıket értékelik, amelyeket a második

szakaszban határoztak meg. Ezáltal kapjuk meg a "hol vagyunk" állapot leírását, amely megkönnyíti a pótlólagos ellenintézkedések kiválasztását. Ez a választás és ezen intézkedések megalapozása azután a negyedik szakasz tárgya. A szakasz lebonyolítása A kockázat feltárásához nem létezik valamiféle egyszerő, általánosan érvényes koncepció. A kockázat részét képezı "lehetséges kárnagyságot" csak maga az alkalmazó értékelheti. A "bekövetkezési gyakoriságot" pedig megfelelı szakszemélyzet becsülheti meg. Az értékelés során döntıen esnek latba a második, a harmadik és az ötödik lépés eredményei. A felhasználó szükséges gondolkodását az egyes lépéseknél megjegyzésekkel, utalásokkal és példákkal támogatja a kézikönyv. A fenyegetett rendszerelemek értékét ötrészes skálán rögzítik, amely a második lépésben szerepel. A gyakoriságok értékeit egy másik ötrészes skálához rendelik hozzá, amelynek jelentıséget azonban csak a felhasználó, az alkalmazó adhat és kell hogy adjon. Ha valamely kockázati rész – hatodik és hetedik lépésben szereplı – becslése kimagaslóan nagy bizonytalansági tényezıvel terhelt, azt jelölni kell. Általában a ritka események gyakorisága, mint például az informatika rendszer külsı tényezık általi megtámadásáé, nehezen becsülhetı. A harmadik szakasz lezárása során a szakasz eredményeit, kiemelten a kárnagyság, a kárgyakoriság értékeit és a kockázatok leírását a résztvevık, a felelısök és a vezetık körében be kell mutatni, felül kell velük vizsgáltatni és ítéletet kell mondatni velük ezekrıl. Csak amennyiben már elfogadtottnak tekinthetık az eredmények, lehet rátérni a munka következı szakaszára, a biztonsági koncepció elkészítésére.

238


Az informatikai biztonság irányításának vizsgálata 6. lépés: A károk értékeinek meghatározása Áttekintés A rendszerelemek alapértékeinek meghatározása a védelmi igény behatárolásához kapcsolódó értékmeghatározás alapulvételével. Az eljárás a rendszerelemek egymástól való függése alapján terjeszti ki az értékeket az elsıdlegesen védendı rendszerelemekrıl. Ezután történik meg az értékeknek az alapfenyegettség-rendszerelem párosokhoz való hozzárendelése, majd az alapfenyegettségek okozta károk értékeinek meghatározása és az értékek valamint a fenyegetı tényezık összerendelése az alapfenyegettség-rendszerelem párosokhoz való tartozás alapján. A 6. lépés megvalósítása a következı feladatokra bontható: 1. feladat:

Az értékek átvitele a rendszerelemekre;

2. feladat:

A károk áttekintı ábrázolása.

Résztvevık: ̶

informatikai szakszemélyzet, ̶


a rendszerelemek és az alapvetı fenyegetı tényezık listája a kárértékekkel, ̶

a fenyegetı tényezık listája a kárértékekkel. A leíró táblázat struktúrája a következı:

A fenyegetı tényezı megnevezése

Melyik alapfenyegetettségre A fenyegetett nézve releváns rendszerelem csoport

Kárérték


a 2. lépés eredményei (az értékelt alkalmazás-adat lista), ̶

a 3. lépés eredményei (a rendszerelemek listája és a függıségek leírása),


239


az 5. lépés eredményei (releváns fenyegetı tényezık listája és rendszerelemekhez rendelése) Ajánlatos a rendszerelemek értékelését követıen azok listáját átvizsgálni. Így a védelmi

intézkedéseket szem elıtt tartva ésszerőnek tőnhet, hogy egy-egy rendszerelemet több részrendszerelemre osszunk fel, amennyiben a fenyegetı tényezık csak egyes részegységekre tudnak hatni. Több rendszerelemet összevonhatunk un. közös rendszerelemmé is, ha ugyanazok a fenyegetı tényezık lehetnek hatással reájuk. De törekedni kell arra, hogy az egyes rendszerelemek felismerhetık maradjanak, miután egyes finomításokra késıbb is szükség lehet. Ebben az esetben a 3. lépéshez kell visszatérni. Lebonyolítás 1. feladat: Az értékek átvitele a rendszerelemekre A feladat végrehajtása során megtörténik az alkalmazások és az adatok 2. lépésben feltárt értékeinek átvezetése azokra a feltérképezett objektumokra, amelyektıl függnek. A feltérképezett rendszerelemek értékét az alkalmazások és az adatok értékelésébıl kell levezetni. Ehhez az alkalmazások rendszerelemektıl való függésének (a harmadik lépésben leírt) eredményeit kell használni. Az alkalmazásoknak, szolgáltatásoknak és adatoknak a második lépésben adott értékeit kell átvinni a rendszerelemekre, mégpedig mindazokra, amelyektıl az alkalmazások függnek. Ezek az értékek a 0-4 közötti számok, valamint a 4+ szélsıérték, amelyek a második lépésben bevezetett skálát képezik. Ez érvényes valamennyi alapfenyegetettségre, amennyiben azokat a rendszerelemeknél a negyedik lépésben jelölte. Például az adatok értéke a bizalmasságot illetıen áttevıdik azokra az adathordozókra is, amelyek az adatokat tartalmazzák. Itt figyelembe kell venni az alapfenyegetettségek közötti – a negyedik lépésben feltárt – átfedéseket, átlapolási hatásokat. Az értékek átvitelét befolyásolják az ötödik lépésben feltérképezett gyenge pontok és védelmi intézkedések is. Ezek hathatnak csökkentı módon, amennyiben a kárt csökkentik vagy korlátozzák. Azokat a tényezıket és megfontolásokat, amelyek egy érték megváltoztatásához vezettek, feltétlenül dokumentálni kell. Amennyiben egy rendszerelemtıl több informatikai alkalmazás vagy információ függ, akkor az adott rendszerelemnek a legmagasabb elıforduló értéket kell adni. Például, ha egy lemezes tároló különbözı adatokat tárol, akkor a legfontosabb információ értékét adjuk neki. Azok a rendszerelemek, amelyek más rendszerelemek védelmére szolgálnak – azaz valamely védelmi intézkedés részei – azon rendszerelemek értékét kapják meg, amelyeket védeniük kell. 240


Az informatikai biztonság irányításának vizsgálata Végül a rendelkezésre állás vagy a sértetlenség elvesztésének eseteinél figyelembe kell venni a rendszerelem újbóli beszerzésének vagy pótlásának ráfordításait is. A skálaértéket azonban csak akkor növelje, ha a ráfordítás az újrabeszerzés vonatkozásában magasabb, mint a 12. lépésben (maradványkockázat számításakor) levezetett érték. Általában ez az eset nem fordul elı, mert az informatika-alkalmazás haszna rendszerint magasabb, mint kiépítésének ráfordításai. 2. feladat: A károk áttekintı ábrázolása Áttekintést célszerő készíteni arról, hogy a fenyegetı tényezık bekövetkeztével milyen kár keletkezhet a rendszerelemekben. Ehhez a feltárt értékeket be kell írni az „Eredmények”nél megadott táblázat „Kárérték” oszlopába. Az áttekintésnek a várható kár alapján egyértelmően kell tükröznie a fenyegetı tényezık jelentıségeit. Azt a fenyegetı tényezıt, amelyik több rendszerelemet érint és több alapfenyegetettséget válthat ki, a legmagasabb elıforduló kárértékkel kell megjelölni.

7. lépés: Az alapfenyegettségek okozta károk gyakoriságának meghatározása Áttekintés A lépés során annak becslése történik, hogy milyen gyakran következik be valamely fenyegetı tényezı hatása és ezzel károkozás valamely rendszerelemben. A 7. lépés végrehajtása a következı feladatokra bontható: 1. feladat:

Az ötrészes gyakorisági skála rögzítése;

2. feladat:

A gyakorisági értékek hozzárendelése a fenyegetı tényezıkhöz.

Segédlet: ̶

a károk gyakoriságának ötrészes skálája (1.7.2. pont) Résztvevık: ̶



a rendelkezésre álló skálaértékek jelentıségének leírása, ̶

a releváns fenyegetı tényezık listája a gyakorisági értékekkel.


241

Az informatikai biztonság irányításának vizsgálata A leíró táblázat struktúrája a következı:


Melyik alapfenyegetettségre nézve releváns


Kárérték

Gyakoriság

Kapcsolódási pont: ̶

az 5. lépés eredménye (a fenyegetı tényezık listája, rendszerelemhez rendelt gyenge pontok, védelmi intézkedések) Ajánlatos a gyakoriság értékelését követıen a rendszerelemek listáját átvizsgálni. Így a

védelmi intézkedéseket szem elıtt tartva ésszerőnek tőnhet, hogy egy-egy rendszerelemet több rész-rendszerelemre osszunk fel, amennyiben a fenyegetı tényezık csak egyes részegységekre tudnak hatni. Több rendszerelemet összevonhatunk un. közös rendszerelemmé is, ha ugyanazok a fenyegetı tényezık lehetnek hatással reájuk. De törekedni kell arra, hogy az egyes rendszerelemek felismerhetık maradjanak, miután egyes finomításokra késıbb is szükség lehet. Ebben az esetben a 3. lépéshez kell visszatérnünk. Lebonyolítás 1. feladat: Az ötrészes gyakorisági skála rögzítése Az informatikai rendszert fenyegetı veszélyek gyakorisága 0, 1, 2, 3, 4 értékekkel határozható meg. A skála szakaszainak általános értéke a következı:

"4": nagyon gyakori, "3": gyakori, "2": közepes, "1": ritka, "0": nagyon ritka.

242


Az informatikai biztonság irányításának vizsgálata A "0" érték általános jelentése "nagyon ritka, valószínőtlen, elhanyagolható gyakoriságú". A "4" felsı érték általános jelentése: "nagyon gyakori, bármikor elıfordulhat, beláthatatlan gyakoriságú". Meg kell határozni a 0-4 értékek jelentését, melynek során általános jelentésüket konkretizálják az alkalmazói területre. Általában valamely szám/idıegység viszonyt adnak meg. Az értékeket úgy kell rögzíteni, hogy a 0-4 számok jelentése azonos léptékő növekedést jelentsen, tipikusan egy exponenciális skálán. Az 1.7.2. pontban bemutatott példa hivatott megmutatni, hogyan lehetséges az értékek jelentését rögzíteni. Különbözı alkalmazói területekre nézve elıfordulhat, hogy különbözı kiterjesztéseket kell adni az értékskálának, például az idıegységeket másképp kell definiálni, hogy a skálaértékek összehasonlíthatósága az alkalmazó különbözı követelményei esetében is garantálható legyen. A gyakoriságok területe általában a "nagyon ritkától" a "nagyon gyakoriig" terjedı öt értékkel lefedhetı. Mindezeken túlmenıen egy több mint öt értéket tartalmazó skála a becsült valószínőségek olyan pontosságát tételezné fel, amelyet a becslési eljárás pontatlansága nem indokol. A különbözı alkalmazóknál ugyanaz a gyakoriság egészen más jelentıséget kaphat. Éppen ezért az öt skálaérték jelentését minden egyes felhasználónak a saját területére saját magának kell rögzítenie. 2. feladat: A gyakorisági értékek hozzárendelése a fenyegetı tényezıkhöz A fenyegetı tényezıkhöz minden egyes általuk érintett rendszerelemre és mind a három alapfenyegetettségre nézve hozzá kell rendelni a gyakorisági skála valamely értékét. A befolyásolhatatlan külsı tényezık (vis maior) által fellépı, valamint a bőncselekmény eredető események vonatkozásában kiinduló értékeket adhatnak a biztosítási és bőnügyi statisztikák csakúgy, mint a gyakorlati szakemberek és a biztonsági szakértık tapasztalatai. A statisztikák esetében azonban mindenképpen figyelembe kell venni, hogy milyen peremfeltételek mellett keletkeztek. A statisztikákat nem lehet minden további nélkül a felhasználó speciális viszonyaira átvinni, szolgai módon alkalmazni. Mindezeken túlmenıen a statisztikai eredmények elvileg is bizonytalanságokkal terheltek. Különösen nehéz a külsı támadók vagy belsı tettesek általi támadások megbecsülése ezen cselekmények csekély száma és természete miatt, miután egy vagy több ember cselekedeteitıl, viselkedésétıl függnek. Az ilyen becslések kiindulópontjaként azon személyek száma szolgálhat, akiknek bejutási lehetıségük van az informatikai rendszerbe és


243

Az informatikai biztonság irányításának vizsgálata akik kielégítı ismeretekkel és képességekkel rendelkeznek egy támadáshoz. Általában az okok elemzése is kiindulópontokat adhat a gyakoriság becsléséhez. A becslést befolyásoló tényezık az ötödik lépésben feltérképezett gyenge pontok, amelyek tulajdonképpen a rendszerelemeket a fenyegetı tényezıkkel szemben fogékonnyá teszik. Ugyancsak igaz, hogy az ötödik lépésben feltárt védelmi intézkedések a fenyegetı események gyakoriságát csökkenthetik. Azokat a tényezıket, amelyek a megváltozott értékeléshez vezettek, dokumentálni kell. Az olyan fenyegetı tényezıknél, amelyek személyek szándékos támadásaival függnek össze, a gyakorisági értéket egy vagy akár két nagyságrenddel is növelni kell, ugyanis egy támadás annál valószínőbb, minél nagyobb a kár, amelyet valamely tettes okozhat, vagy saját elınyére változtathat át. Az ilyen befolyásoló tényezıket is dokumentálni kell. Becsülje meg a bekövetkezési gyakoriságokat minden egyes fenyegetı tényezı esetében, és eredményként rendelje hozzájuk a 0-4 közötti skálaértékekbıl valamelyiket, vagy a 0- (soha nem fordul elı) különleges értéket. A hozzárendelt skálaértékek alapján ugyanazon számokkal jelölt gyakoriságoknak összehasonlíthatóknak kell lenniük. Az egy számmal magasabban jelölt gyakoriság a szervezet számára legalább egy nagyságrenddel fontosabb kell, hogy legyen. A gyakoriság becslése nélkül a kockázat, amelyet valamely fenyegetı tényezı okoz, nem becsülhetı. Csak ha ezek a számok már adottak, csökkenthetı az a bizonytalanság, amely elvileg benne rejlik a becslés folyamatában. A csökkentést folyamatos és periodikus átvizsgálással

és

korrigálással

érhetjük

el.

Az

ismételt

vizsgálatoktól

jelentıs

tapasztalatszerzés várható.

8. lépés: A fennálló kockázatok meghatározása és leírása Áttekintés Az eljárás következı lépése az értékskála és a gyakoriság skála alapján az el nem fogadható kockázatot jelentı érték-gyakoriság párok meghatározása, valamint a döntési mátrix alapján megengedhetınek ítélt kockázatok meghatározásának döntési háttere, annak elemzése, dokumentálása. Röviden összefoglalva a lépés tartalma a kockázatbecslési mátrix meghatározása. A 8. lépés megvalósítása a következı feladatokra bontható:

244

1. feladat:

Valamennyi kárérték összeállítása egy áttekintésben;

2. feladat:

Az elviselhetı és az elviselhetetlen kockázatok rögzítése; Magyar Informatikai Biztonság Irányítási Követelményrendszer

Az informatikai biztonság irányításának vizsgálata 3. feladat:

Az elviselhetı és az elviselhetetlen kockázatok megjelölése az áttekintésben.

Segédletek: ̶

kockázati mátrix (1.7.6. pont), ̶

összesítı kockázat értékelési és minısítési táblázat (1.7.6. pont). Résztvevık: ̶



értékelı csoport és a vezetı. Eredmények: ̶

a fenyegetı tényezık és a rendszerelemek áttekintése kárértékkel, gyakorisági értékkel, továbbá az elviselhetı és az elviselhetetlen kockázatok megjelölésével (kockázat-áttekintés) az 1.7.6. pontjában meghatározott összesítı táblázat szerint, ̶

teljesen kitöltött kockázati mátrix. Kapcsolódási pontok A 8. lépés elıfeltétele a fenyegetések és rendszerelemek listája a kárértékekkel, mely a

6. lépés eredménye, valamint a fenyegetések listája gyakorisági értékekkel, amely az elızı, 7. lépésben keletkezett. A 8. lépés eredménye az alapja mind a 9., mind a 10. lépés sikeres végrehajtásának. Lebonyolítás Az 1. feladat: Valamennyi kárérték összeállítása egy áttekintésben Össze kell állítani közös áttekintésben valamennyi kockázatot, hogy a hozzájuk rendelt értékpárok a 6. lépés kárértékeibıl és a 7. lépés gyakorisági értékeibıl álljanak. (Értékpár: kárérték-gyakorisági érték) Minden egyes feltárt fenyegetı tényezıhöz minden érintett rendszerelem és valamennyi vonatkoztatható alapfenyegetettség vonatkozásában egy értékpárt kell hozzárendelni, amely a kárértékbıl (elsı szám) és a gyakorisági értékbıl (második szám) áll. Ez az értékpár jelöli a kockázatot. A kockázat nagysága a két értékbıl együttesen adódik. A kockázatokat úgy kell


245

Az informatikai biztonság irányításának vizsgálata ábrázolni, hogy a nagyobb kockázatok könnyen azonosíthatók legyenek és felismerhetı legyen, hogyan alakultak ki ezek a kockázatok. 2. feladat: Az elviselhetı és az elviselhetetlen kockázatok rögzítése Meg kell állapítani a döntési tábla alapján, mely kárnagyságból és gyakoriságból összetevıdı értékpárok jelentenek elviselhetı kockázatot és melyek nem. A kockázati mátrixban valamennyi értékkombinációt meg kell jelölni egy "E" betővel, hogyha elviselhetı kockázatokat jelentenek, és egy "N" betővel, ha nem elviselhetı kockázatokat jelentenek. Hogy melyik helyen, mely jelölést kell alkalmazni egy értékpár esetében, azt az 1.7.6. pontban találhatja. Mindehhez elsıként a táblázatban meg kell vonni a határt az elviselhetetlen és az elviselhetı kockázatok között. Mindazok az értékpárok, amelyek ezen határtól felfelé és jobbra helyezkednek el, az „N” jelölést kapják. Mindazok az értékpárok, amelyek ettıl a határtól lejjebb és balra helyezkednek el, a „E” jelölést kapják. Azokat az okokat, amelyek ezen határ rögzítéséhez vezettek, dokumentálni kell. Az elviselhetı kockázat felsı határát úgy lehet rögzíteni, hogy – megfelelıen kiválasztott példák és esetek összehasonlításával – a fennálló kockázatokat az általános biztonsági politika követelményeivel összehasonlítva kell eldönteni, hogy ezek a kockázatok elviselhetık-e. Amennyiben az általános biztonságra vonatkozó irányelvek hiányoznak, úgy az értékelı csoportnak a projekt vezetıséggel egyeztetett véleménye alapján kell meghatározni a felsı határt. Az egyezı értékpárral leírt két kockázat bizonyos szempontból hasonlít egymásra. A nagyobb értékpárú kockázat jelentısebb a szervezeteknek, ezért lehet, hogy korrigálni kell a 2. és 7. lépések eredményeit. Különleges jelentısége van a felhasználási területek összehasonlíthatóságának. Ebben a lépésben csak a kockázati szemlélet alapján lehet eldönteni, hogy az egyik kockázat elviselhetı (E), a másik nem elviselhetı (N). A késıbbi lépésekben, amelyek során az elviselhetetlen kockázatok megszüntetésére törekszünk, érvényesülhetnek a gazdaságosság szempontjai is. Az elviselhetı és elviselhetetlen kockázatok közti határ rögzítésérıl semmilyen körülmények között nem mondhatunk le! A 4+ és 0- szélsıértékeket tartalmazó kombinációkat elkülönítve kell figyelembe venni. Függetlenül a gyakorisági értéktıl valamennyi olyan kombinációnak E jelölést adjon, amelyben a kárérték a "-" jelölést kapta.

246


Az informatikai biztonság irányításának vizsgálata Itt jegyzendı meg, hogy állam- vagy szolgálati titoknak minısített adatok megjelenése az informatikai feldolgozásban a 4, 4+ skálaértéket indukálja, de ezen túlmenıen informatikai biztonsági szakértı bevonását teszi szükségessé. 3. feladat: A kockázatok megjelölése az áttekintésben Döntési tábla segítségével ki kell tölteni az 1.7.6. pontban meghatározott összesítı táblázat "Kockázatminısítés" rovatát „N”-el vagy „E”-vel!


247

Az informatikai biztonság irányításának vizsgálata Kockázati mátrix a kockázatok jelölésére:

K Á

4

E

N

N

N

N

R

3

E

N

N

N

N

É

2

E

E

N

N

N

R

1

E

E

N

N

N

T

0

E

E

E

E

E

0

1

2

3

4

É K

GYAKORISÁGI ÉRTÉK 9. ábra: A kockázat mátrix

IV. szakasz: kockázatmenedzselés A szakasz áttekintése Az informatikai rendszert megfelelı és elfogadható intézkedések révén úgy kell kialakítani, hogy a maradványkockázat elfogadható legyen. Ebben a fejezetben az informatikai biztonsági vizsgálatának és biztosításának céljait szolgáló eljárás negyedik szakaszát írjuk le. Az egész eljárás áttekintése a 3. fejezetben található. Javasoljuk az olvasónak, hogy vessen egy pillantást erre a részre. Az informatikai biztonsági intézkedések összeállítását és értékelését a következı négy lépésben kell elkészíteni: Kilencedik lépés:

Az intézkedések kiválasztása;

Tizedik lépés:

Az intézkedések értékelése;

Tizenegyedik lépés:

A költség-haszon arány elemzése;

Tizenkettedik lépés:

A maradványkockázat elemzése.

Tizenharmadik lépés:

Akcióterv kidolgozása.

A szakasz eredményei: Egy olyan informatikai biztonsági koncepció, amelyben rögzítve van: ̶

az informatikai biztonsági stratégia, azaz a célok, az alapelvek és a felelısségi viszonyok, ̶

az eddigi "hol vagyunk?" állapot (a fenyegetettség- és kockázatelemzés eredménye), ̶

új intézkedések kiválasztása (a kilencedik lépés eredménye),

248



az intézkedések kölcsönhatásai (a tizedik lépés eredménye), ̶

az intézkedések kihatásai a szervezeti mőködésre, ̶

az intézkedések elfogadhatóságának alapjai (a tizenegyedik lépés eredménye), ̶

a kockázatok "hova igyekszünk?" állapota" (a tizenkettedik lépés eredménye), ̶

alapkövetkeztetések, amennyiben a fenyegetı tényezıket nem tudjuk intézkedésekkel lefedni, ̶

a maradványkockázat elviselhetıségének alapjai.

Kapcsolódási pontok Miután a fenyegetettség elemzés és a kockázatelemzés megállapította a "hol vagyunk?" állapotot és rögzítette a "hova igyekszünk?" állapotot, a "hol vagyunk?" állapotot a fenyegetı tényezık elleni intézkedések révén átvezetjük a "hova igyekszünk?" állapotba. A szakasz lebonyolítása Az intézkedések kiválasztásával általában új rendszerelemek keletkeznek, amelyeket védeni kell. A rendszerelemekre vonatkozóan a fenyegetettség- és kockázatelemzést utólagosan végre kell hajtani. A tizedik lépésben az intézkedések hatékonyságát értékeljük. Ennek során – akárcsak a második és hetedik lépésekben – nem adott egy egyszerő általános eljárási módszer. Ez a lépés a kiválasztott intézkedések területén szerzett tudást és tapasztalatot feltételezi. Különösen vonatkozik ez annak megítélésére, hogyan hatnak egymásra az intézkedések, milyenek kölcsönhatásaik. A negyedik szakasz lezárása során az informatikai biztonsági koncepciót a kidolgozásában résztvevık, felelısök körében be kell mutatni, felül kell vizsgálni, arról határozni kell és a következı pontokkal ki kell egészíteni: ̶

az intézkedések prioritási sorrendje, ̶

a személyes felelısség az intézkedések o kiadásáért, o megvalósításáért és o felügyeletéért,


249


idırendi terv az intézkedések megvalósítására, ̶

utalások az intézkedések betartásának felülvizsgálatára és ̶

az informatikai biztonsági koncepció felülvizsgálata idıpontjának meghatározása. Csak amennyiben elértük az informatikai biztonsági koncepció elfogadását, kezdhetünk

bele a végrehajtásába. Az informatikai biztonsági koncepciónak független átvizsgálása például külsı tanácsadók által- ajánlatos az alábbi szempontok szerint: ̶

nem feltárt releváns fenyegetı tényezık, ̶

hamisan értékelt fenyegetı tényezık, ̶

hamisan értékelt intézkedések stb.

9. lépés: Az intézkedések kiválasztása Áttekintés Általános védelmi elemek, valamint megfelelı számítástechnikai mechanizmusok keresése az informatikai rendszer védelmére annak érdekében, hogy az elızıekben feltárt elviselhetetlen kockázatok csökkenjenek. A 9. lépés megvalósítása a következı feladatokra bontható: 1. feladat:

Az elviselhetetlen kockázatok összeállítása;

2. feladat:

Az intézkedések kiválasztása.

Segédlet: ̶

az intézkedések listája és hozzárendelései (1.7.6. pont alapján). Résztvevık: ̶

informatikai biztonsági szakértık, ̶

az egyes intézkedések szakemberei az alábbi területekrıl: o környezeti infrastruktúra, o szervezet, o személyzet, o hardver, szoftver, adatok, dokumentációk (információtechnológia),

250


Az informatikai biztonság irányításának vizsgálata o kommunikáció, o elektromágneses sugárzásvédelem. Eredmények: ̶

azon kockázatok kiemelése az általános áttekintésbıl, amelyek ellen intézkedéseket kell tenni, (az 1.7.6. pont szerinti összesítı táblázattal azonos struktúrájú táblázat de csak az ”N” minısítéső sorokat tartalmazza), ̶

a meghozandó intézkedések leírása. Kapcsolódási pontok A lépés sikeres végrehajtásához szükséges a 8. lépés eredménye (kockázat-áttekintés). A 9. lépés a továbbiakban alapját képezi a következı, 10. lépésnek. Az intézkedések révén általában új rendszerelemek keletkeznek, amelyeket a fenyegetı

tényezıkkel szemben ugyancsak védeni kell, különben az intézkedések esetleg hatástalanok lehetnek. Éppen ezért ismételt fenyegetettség- és kockázatelemzést kell végrehajtani. Ez visszacsatolást igényel a 3.-tól a 8.-ig terjedı lépésekhez. Amennyiben a példák nyomán megállapítjuk, hogy az egységes értékelés a skálákon nem teljesen sikerült, az egész értékelést felül kell vizsgálni. Ez feltételezi a visszacsatolást a 2.-tól a 7.-ig terjedı lépésekhez. Lebonyolítás 1. feladat: Az elviselhetetlen kockázatok összeállítása Az elviselhetetlen kockázatok sorát olyan kivonatban kell összeállítani, mint a 8. lépésben elıállított áttekintés. Ehhez ki kell választani azokat a kockázatokat, amelyek értékpárját a döntési táblában N-nel jelöltük. Ezek a kockázatok olyan fenyegetı tényezıkbıl indulnak ki, amelyek ellen még semmit, vagy túl keveset tettek. Ha itt elviselhetetlen kockázatok adódnak, olyan védelmi igény áll fenn, amely azt jelenti, valamit tenni kell az informatikai rendszer védelmének erısítése érdekében. Alkalmazható olyan megközelítés is, amely a kockázatok felmérésekor a már megtett intézkedéseket és azok kockázatcsökkentı hatását nem veszi figyelembe. Ebben az esetben az ilyen fenyegetı tényezık által kiváltott kockázat értéke a mátrixban magasabbra adódik. Az ilyen típusú kockázatok csökkenését a késıbbi lépésekben a tényleges és tervezett intézkedések hatásának együttes figyelembevételével lehet megbecsülni. Magyar Informatikai Biztonság Irányítási Követelményrendszer

251

Az informatikai biztonság irányításának vizsgálata 2. feladat: Az intézkedések kiválasztása Intézkedéseket kell hozni azon fenyegetı tényezık ellen, amelyek az elviselhetetlen kockázatot okozzák. A biztonsági követelmények arra irányulnak, hogy az elviselhetetlen kockázatokat okozó fenyegetı tényezık elleni intézkedések révén elérjék a kockázatok elviselhetı mértékre csökkentését. Az 1.7.6. pont szerint összeállított intézkedési listából ki kell választani azokat az intézkedéseket, amelyek az elsı feladat során kiválasztott fenyegetı tényezık ellen hatnak. Általában úgy lehet megtalálni a fenyegetı tényezık elleni megfelelı intézkedéseket, hogy az elıbbiek okait kell megvizsgálni. Ha még nincs kellı tapasztalat az intézkedések kiválasztásában, támogatást nyújthatnak a kiválasztás során az intézkedéseknek a fenyegetı tényezıkhöz való durva hozzárendelését segítı szempontok, amelyet ugyancsak az 1.7.6. pont tartalmaz. Végezetül meg kell vizsgálni, hogy a kiválasztott intézkedések valamennyi fenyegetı tényezıt lefedik-e, amelyekbıl a feltárt kockázatok kiindulnak. A fenyegetı tényezık és az intézkedés-csoportok egymáshoz rendelése eléggé nagyvonalú, tehát egy-egy csoportnak nem minden intézkedése hat az adott csoport valamennyi fenyegetı tényezıje ellen, és fordítva, nem minden fenyegetı tényezıt fed le az intézkedések mindegyike. A katasztrófamegelızés intézkedéseit ebben a hozzárendelési formában nem szerepeltetjük. Célszerőtlen lenne az egymáshoz rendelést az egyes fenyegetı tényezık és az egyes intézkedések szintjén megvalósítani, miután az áttekinthetetlen lenne. Mindezeken kívül egy ilyen egymáshoz rendelés azt a benyomást kelthetné, hogy (mint például egy megrendelési katalógusban) egyenként minden egyes fenyegetı tényezıhöz egy megfelelı ellenintézkedést választhatunk. A valóságban azonban igen gyakran az intézkedések egymástól függnek és csak egymással összhangban hatnak. 10. lépés: Az intézkedések értékelése Áttekintés Ebben a lépésben végre kell hajtani a kiválasztott intézkedések hatásainak vizsgálatát egyenként és összefüggéseiben, valamint a kockázatcsökkentı hatás számszerősítését az érték- és gyakoriságskála alapján. A 10.lépés megvalósítása a következı feladatokra bontható:

252


Az informatikai biztonság irányításának vizsgálata 1. feladat:

Az

intézkedésekkel

leküzdött

valamennyi

fenyegetı

tényezı

feltérképezése; 2. feladat:

Az intézkedések kölcsönhatásának leírása;

3. feladat:

Az üzemmenetre való kihatások vizsgálata;

4. feladat:

Vizsgálat az elıírásokkal való egyezésre vonatkozóan;

5. feladat:

Az intézkedések hatékonyságának értékelése.

Résztvevık ̶


az intézkedésekkel érintett alábbi területek szakértıi o környezeti infrastruktúra, o szervezet, o személyzet, o hardver, szoftver, adatok, dokumentáció (információtechnológia), o kommunikáció, o elektromágneses sugárzásvédelem, ̶

az informatikai rendszer felhasználói. Eredmények: ̶

valamennyi intézkedés hatásának leírása, ̶

kölcsönhatásaik leírása, ̶

az intézkedések kihatásainak leírása az informatikai rendszer üzemmenetére, ̶

megállapítások a jogszabályokkal, belsı szabályzókkalvaló összeegyeztethetıségrıl, ̶

hatékonysági értékek megadása. Kapcsolódási pontok ̶

az alkalmazások leírása, ̶

a 3. lépés eredményei (az adott intézkedések leírása),


253


az 5. lépés eredményei (a releváns fenyegetések listája), ̶

a 8. lépés eredményei (kockázat áttekintés), ̶

a 9. lépés eredményei ( a tervezett intézkedések listája). Minden esetben elıfordulhat pótlólagos intézkedések újabb kiválasztása akár másik

területrıl is. Ez újabb vizsgálatot tételez fel, azaz visszacsatolást a 9. lépéshez. Lebonyolítás 1. feladat: Az intézkedésekkel leküzdött valamennyi fenyegetı tényezı feltérképezése Számba kell venni minden olyan fenyegetı tényezıt, amelyek ellen a kiválasztott intézkedések hatnak. Elsıként fel kell térképezni, mely fenyegetı tényezıket fedtek le a pótlólagos intézkedések, figyelembe véve, hogy egy intézkedés több fenyegetı tényezı ellen hatásos lehet. 2. feladat: Az intézkedések kölcsönhatásainak leírása Meg kell ítélni, hogyan hatnak kölcsönösen egymásra a pótlólagos – a kilencedik lépésben kiválasztott – és a már korábban is adott – az ötödik lépésben feltérképezett – védelmi intézkedések. Ez a vizsgálat általában megerısíti azt a feltevést, hogy hatásaik átfedik egymást. Azonban az intézkedések egymásra olyan hatással is lehetnek, hogy kölcsönösen gátolják egymást hatásaik kifejtésében. Példa: A biztonsági másolat készítésre nem kellı körültekintéssel történı intézkedése növeli a veszélyt, hogy az információ a biztonsági másolatok révén jogosulatlanok számára hozzáférhetıvé válik. Ez az intézkedés tehát akár növelheti is a kockázatot! Különös figyelemmel kell feltárni az intézkedések közötti kölcsönös függıségeket. Példa: A "naplózás" elnevezéső informatikai intézkedésnek csak akkor van értelme, ha már bevezettek azonosítási és hitelesítési eljárást a rendszerbe való bejelentkezéskor. 3. feladat: Az üzemmenetre való kihatások vizsgálata Felül kell vizsgálni, hogy az intézkedések vezetnek-e és milyen kiterjedéső akadályokhoz az informatikai rendszer üzemelésében. Célszerő megvizsgálni, hogy az intézkedések összeegyeztethetık-e az informatikai rendszerrel szemben támasztott funkcionális követelményekkel és integrálhatók-e a rendszer folyamataiba. Általában a biztonsági intézkedések korlátozásokhoz vezetnek az akadálytalan 254


Az informatikai biztonság irányításának vizsgálata üzemvitelben. Meg kell állapítani, hogy milyen mértékben fogadhatók el ezek az akadályozások (halasztódások, teljesítményvesztések). Különösen fontos azon intézkedések megvizsgálása, amelyek a felhasználót közvetlenül érintik. Példák: Valamennyi pótlólagos vizsgálat a rendszerben a számítógép-teljesítmény növelését igényelheti. A „négy szem” elv az adatbevitel során nagyobb munkaráfordítást követel, mint ha a bevitel csak egy személy által történik. 4. feladat: Vizsgálat az elıírásokkal való egyezésre vonatkozóan Az intézkedéseket meg kell vizsgálni abból a szempontból, hogy összeegyeztethetık-e az elıírásokkal, irányelvekkel és törvényekkel. E körbe tartozik különösen ̶

a munkajogi elıírások, köztisztviselıi besorolások, ̶

az üzemi megegyezések, megállapodások, ̶

egyes normák, ̶

tőzrendészeti elıírások, ̶

az adatvédelmi törvény stb. Példa: A felhasználói aktivitásoknak az informatikai rendszerben való naplózásához szükség

lehet az intézmény vagy szervezet testületi egyetértésére, miután abból a munkatársak teljesítmény-profiljait is össze lehet állítani. 5. feladat: Az intézkedések hatékonyságának értékelése Értékelni kell, hogy az intézkedések milyen mértékben csökkentik a kockázatot. Tisztázni kell, hogy átfogóan hogyan változtatják meg a pótlólagos intézkedések a kockázatokat, azaz általában hogyan csökkentik azokat. Ehhez meg kell vizsgálni, hogyan hat ki egy intézkedés a kárnagyságra vagy a kárgyakoriságra, és olyan értékpárt kell hozzárendelni ehhez az intézkedéshez, amely hatékonyságát jelzi. A személyi és szervezési intézkedések körében a valóságban jelentıs szerepet játszik a hatékonyság megítélésében az érintettek várható magatartása.

Megjegyzés a hardver- és szoftver védelmében hozandó biztonsági intézkedésekhez:


255

Az informatikai biztonság irányításának vizsgálata Az informatikai rendszerek és informatikai komponensek (ügyviteli rendszerek, adatbázisok, alkalmazói programok, hálózatok) bevezetése során tanácsos olyanokat választani, amelyek összhangban vannak az ISO/IEC 15408 (Common Criteria) szabvány vagy a MIBÉTS biztonsági követelményeivel. A megfelelı kiválasztás érdekében tanácsos szakértıkhöz fordulni. Számítógépes hálózatok vonatkozásában az ISO/IEC 15408 vagy a MIBÉTS mellett és fıleg a nyílt rendszer elv érvényre juttatása miatt jelen esetben a biztonsági architektúra modellre készült ISO OSI 7498-2 szabvány, illetve ajánlás emelendı ki, amit a CCITT X.800 néven vett át. (A két forrásanyagban megtalálható osztályozásokat abban az esetben is célszerő alkalmazni, ha az alkalmazásra szánt hardver- és szoftver védelmi elem nem kapott minısítési tanúsítványt.)

11. lépés: A költség/haszon arány elemzése Áttekintés Az eljárásnak ebben a lépésében történik meg az intézkedések költségének meghatározása, valamint az intézkedések elfogadhatóságának vizsgálata. A 11. lépés megvalósítása a következı feladatokra bontható: 1. feladat:

Az intézkedések költségeinek megállapítása;

2. feladat:

Az elfogadhatóság vizsgálata.

Résztvevık: ̶

a pénzügyekért felelısök, ̶


az intézkedésekkel érintett alábbi területek szakértıi o környezeti infrastruktúra, o szervezet, o személyzet, o hardver, szoftver, adatok, dokumentáció (információtechnológia), o kommunikáció, o elektromágneses sugárzásvédelem.

256


Az informatikai biztonság irányításának vizsgálata Eredmények: ̶

áttekintés valamennyi intézkedés költségeirıl, ̶

az intézkedések elfogadhatóságának megalapozása. Kapcsolódási pontok: ̶

a 9. lépés eredményei (pótintézkedések listája), ̶

a 10. lépés eredményei (az intézkedések hatékonyságának értékei). Amennyiben valamely intézkedés esetében a költség és a haszon aránya vagy az

összköltség nem kielégítıen alakulna, szükséges a 9. lépéshez történı visszacsatolás, hogy ezáltal más, ̶

költségszempontból kedvezıbb, ̶

elfogadhatóbb vagy ̶

kevesebb intézkedést válasszunk ki és ugyanezeket a vizsgálatokat azokkal is végrehajtsuk. Lebonyolítás 1. feladat: Az intézkedések költségeinek megállapítása Határozzuk meg az egyes intézkedések költségeit és az intézkedések összköltségeit

foglaljuk össze egy áttekintésben. Egyenként meg kell állapítani a hozott biztonsági intézkedések költségeit. Ehhez hozzátartozik a teljes ráfordítás, amely az adott intézkedés bevezetésével és megvalósításával keletkezik, tehát például ̶

beszerzési költségek a biztonsági hardver és szoftver esetében, ̶

informatikai komponensek installálása és ̶

a személyzet iskolázása. A rejtett költségek, amelyek az akadályozott vagy megváltozott munkafolyamatok miatt

lépnek fel, ugyancsak figyelembeveendı tényezık, amennyire csak lehetséges, már elıre. Az egyszer és egy idıben fellépı ráfordításokat a folyamatos ráfordításoktól elkülönítve kell kezelni. 2. feladat: Az elfogadhatóság vizsgálata


257

Az informatikai biztonság irányításának vizsgálata Meg kell vizsgálni, hogy az egyes intézkedések költségei és haszna elfogadható viszonyban állnak-e egymással. Minden egyes intézkedés költségeit össze kell mérni azok hatásosságával. Amennyiben a költségek és a hatások pénzösszegekben megadhatók, akkor a megtakarításokból, azaz a csekélyebb kár elvárhatóságából adódó haszon nagyobb kell hogy legyen, mint a ráfordított költség. Ha ezt a mérlegelést a kárskála segítségével sikerül elvégezni, akkor a tizedik lépésben rögzített hatékonysági értéknek magasabbnak kell lennie, mint a kárskála megfelelı költségértékének. Az elfogadhatóságot írásban kell megalapozni. Példa: Valamely intézkedés (például az adatok rendszeres biztosítása), amely a kárnagyságot 5-rıl 3-ra csökkenti (például 10 mFt-ról 100 eFt-ra) és költségeket okoz, amelyek a 4-es értéknél jelzetthez hasonlóak vagy kisebbek (például 1 mFt), akkor az adott intézkedés elfogadható. Itt két egyszerő gyakorlati szabály érvényesül: ̶

Egy intézkedés nem kerülhet többe, mint amennyi a haszna. ̶

Egy intézkedésnek nem lehet nagyobb haszna, mint az az érték, amelyet védenie kell.

12. lépés: A maradványkockázat elemzése Áttekintés A lépés tartalma az elfogadható költségő intézkedésekkel nem csökkenthetı mértékő kockázatok kezelésérıl hozott döntéseknek, azok hátterének elemzése, dokumentálása. A 12. lépés megvalósítása a következı feladatokra bontható: 1. feladat:

A hatékonysági értékek bedolgozása a kockázat-áttekintésbe;

2. feladat:

A maradványkockázat elemzése.

Résztvevık: ̶

projektvezetés. Eredmény: ̶

áttekintés a maradványkockázatról. Kapcsolódási pontok ̶

258

a 8. lépés eredményei,



a 10. lépés eredményei. A maradványkockázat elemzésének a célja nem az, hogy valamennyi kockázatot

amennyire csak lehetséges csökkentsük és kapcsoljuk ki, hanem az, hogy a kockázatokat elviselhetı mértékőre korlátozzuk és egyetlen elviselhetetlenül magas értékő kockázatot se fogadjunk el. Amennyiben még egy vagy több kockázat a 9. lépésben felállított tábla szerint elviselhetetlen, szükség van a 9. lépéshez való visszacsatolásra. hogy hatékonyabb intézkedéseket vagy több intézkedést válasszunk ki. Olyan maradványkockázat, amely elviselhetetlen, e lépés lezárását követıen nem maradhat. Az is elképzelhetı viszont, hogy az elıirányzott védelem túlzott, azaz a kockázatot jóval az elviselhetıségi határ alatt tartja. Ilyenkor meg kell fontolnunk, hogy egyszerőbb vagy kevesebb intézkedéssel elérhetı-e egy elfogadható maradványkockázat. Ennek során figyelembe kell vennünk az intézkedések közötti függıségeket. Lebonyolítás 1. feladat: A hatékonysági értékek bedolgozása a kockázat-áttekintésbe Ki kell egészíteni a kockázat-áttekintést a kiválasztott intézkedések hatékonyságának értékeivel. Az elıirányzott intézkedéseknek a tizedik lépésben feltárt értékpárjait a nyolcadik lépésben szereplı kockázat-áttekintésbe kell bedolgozni. Ehhez az ellenintézkedés értékét minden kockázat esetében, amelyeket az adott intézkedés lefed, az eddigi értékpárból számjegyenként le kell vonni. Ezenkívül a kockázat nagyság mutatóját mindenhol megfelelı mértékben növelni kell, ahol az intézkedés kockázatnövelı kihatású. Ezzel elıáll az a kockázat, amely az intézkedések ellenére megmarad, azaz más néven a maradványkockázat. Példa: Valamely fenyegetı tényezıbıl olyan kockázat indult ki, amely a (4,1) értékpárral volt leírható. Valamely ezen fenyegetı tényezı ellen tett intézkedés hatékonysága (1,0). Ez esetben a megmaradó, maradványkockázat a (3,1) értékpárral írható le. 2. feladat: A maradványkockázat elemzése Felül kell vizsgálni, hogy valamennyi fennmaradó kockázat elviselhetı, azaz az újonnan adódott értékpárok a 8. lépésnek megfelelıen összeállított döntési táblának megfelelı elviselhetı kockázatokat tartalmaznak-e. Meg kell vizsgálni, hogy az átdolgozott áttekintésben minden egyes kockázat egy megfelelı értékpárral van-e megjelenítve. Elfogadhatók azok az értékpárok, amelyeket a nyolcadik lépésben szereplı döntési táblán „E”-vel jelöltünk. Csak ez esetben elviselhetık a


259

Az informatikai biztonság irányításának vizsgálata maradványkockázatok.

Azokat

a

kifejtéseket,

amelyek

a

maradványkockázat

elviselhetıségével kapcsolatos döntés alapjául szolgáltak, célszerő dokumentálni. Különösen ki kell emelni, ha valamely releváns fenyegetı tényezı nincs intézkedésekkel lefedve. Ha a maradványkockázatot elfogadható ráfordításokkal nem lehet elviselhetı mértékre csökkenteni, akkor "végsı" intézkedésként mérlegelni kell az informatikai rendszer bevezetésérıl történı lemondást is a kritikus alkalmazói területeken. 13. lépés: Akcióterv kidolgozása A negyedik szakasz lezárása során akciótervet kell készíteni az informatikai biztonság fokozására, a kockázatok csökkentésére, és azt a kidolgozásában résztvevık, felelısök körében be kell mutatni, felül kell vizsgálni, arról határozni kell, és a következı pontokkal ki kell egészíteni: ̶

az intézkedések prioritási sorrendje, ̶

a személyes felelısség az intézkedések o kiadásáért, o megvalósításáért és o felügyeletéért, ̶

idırendi terv az intézkedések megvalósítására, ̶

utalások az intézkedések betartásának felülvizsgálatára és ̶

az informatikai biztonsági koncepció felülvizsgálata idıpontjának meghatározása.

Az informatikai biztonsági vizsgálati dokumentum tartalmi felépítése Az elvégzett informatikai biztonsági vizsgálat jelentést a következı tartalommal javasolt kidolgozni.

1.

BEVEZETÉS 1.1. A VIZSGÁLAT CÉLJA 1.2. MÓDSZERTAN, TARTALOM, A VIZSGÁLAT HATÁRAI 1.3. A VIZSGÁLAT ÜTEMEZÉSE 1.4. A VIZSGÁLAT KÖRÜLMÉNYEI

260


Az informatikai biztonság irányításának vizsgálata 1.4.1.

A helyzetfeltáráshoz használt eljárások

1.4.2.

Az informatikai biztonsági vizsgálathoz rendelkezésre bocsátott dokumentumok

1.4.3.

Az informatikai biztonsági vizsgálat során figyelembe vett fontosabb jogszabályok, szabványok és ajánlások

1.5. 2.

RÉSZTVEVİK (VIZSGÁLT SZERVEZETI EGYSÉGEK)

A VÉDELMI IGÉNYEK FELTÁRÁSA 2.1. A TÁRSASÁG BEMUTATÁSA 2.1.1.

A Társaság rendeltetése, funkciói

2.1.2.

A Társaság funkcionális folyamatai és szervezete

2.1.3.

A Társaság kapcsolatrendszere

2.2

AZ INFORMATIKAI RENDSZEREKBEN KEZELT FİBB ADATKÖRÖK

2.3

A VÉDELMI IGÉNYEK 2.3.1.

A védelmi célok feltérképezése, a védelmi igények meghatározása

2.3.2.

A károk értékskálájának rögzítése

2.3.3.

A kárértékek hozzárendelése az informatikai rendszerben kezelt adatokhoz

3.

FENYEGETETTSÉG-ELEMZÉS 3.1

A FENYEGETETT RENDSZERELEMEK FELTÁRÁSA 3.1.1.

A rendszerelemek feltérképezése

3.2. A FENYEGETİ TÉNYEZİK MEGHATÁROZÁSA

4.

3.2.1.

A rendszerelemek gyenge pontjai

3.2.2.

Fenyegetı tényezık

KOCKÁZATELEMZÉS 4.1. A KÁRÉRTÉKEK ÁTVITELE A RENDSZERELEMEKRE 4.2. A

FENYEGETÉSEK

OKOZTA

KÁROK

GYAKORISÁGÁNAK

MEGHATÁROZÁSA 4.3. A FENNÁLLÓ KOCKÁZATOK ÉRTÉKELÉSE

5.

4.3.1.

Az elviselhetı és az elviselhetetlen kockázatok rögzítése

4.3.2.

A kockázatok meghatározása és minısítése

KOCKÁZAT-KEZELÉS 5.1. A NEM ELVISELHETİ KOCKÁZATOK 5.2. AZ INFORMATIKAI BIZTONSÁGI INTÉZKEDÉSEK KIDOLGOZÁSÁNAK SZEMPONTJAI


261

Az informatikai biztonság irányításának vizsgálata 5.3. BIZTONSÁGI INTÉZKEDÉSEK A KOCKÁZATOK ÉRTÉKELÉSE ALAPJÁN 5.3.1.

Általános jellegő biztonsági intézkedések

5.3.2.

Biztonsági intézkedések a környezeti infrastruktúra védelmében

5.3.3.

Biztonsági intézkedések a hardver védelmében

5.3.4.

Biztonsági intézkedések az adathordozók védelmében

5.3.5.

Biztonsági intézkedések a dokumentumok védelmében

5.3.6.

Biztonsági intézkedések a szoftver védelmében

5.3.7.

Biztonsági intézkedések az adatok védelmében

5.3.8.

Biztonsági intézkedések a kommunikáció védelmében

5.3.9.

Biztonsági intézkedések a személyek védelmében

5.4. A

TÁRSASÁG

EGÉSZÉT

ÉRINTİ,

GLOBÁLIS

INTÉZKEDÉSI

JAVASLATOK 5.5. AKCIÓTERV ÉS KÖLTSÉGBECSLÉS A JAVASOLT INTÉZKEDÉSEKRE 6.

ÖSSZEFOGLALÓ

Segédletek Tipikus informatika-alkalmazások és azok alapfenyegetettségi kérdései Az alábbi felsorolás csak szemelvényként tekintendı, hiszen az alkalmazott rendszerek száma napjainkban már végeláthatatlan listát igényelne. A legelterjedtebb rendszerek a következık: ̶

szövegfeldolgozás, ̶

dokumentumok adminisztrációja/kezelése, ̶

könyvelés, ̶

számolási, számlázási ügyek, ̶

fizetés- és keresetszámítások, ̶

számlavezetés, ̶

vevıkártyák vezetése, ̶

személyi nyilvántartások vezetése, ̶

ügyfélkártyák vezetése, ̶

lakcímbejelentı regiszter kezelése, ̶

gépjármő engedélyezési adatok adminisztrációja/kezelése, ̶

konstrukciós adatok adminisztrációja/kezelése,

262



gyártásvezérlés, ̶

folyamatvezérlés, ̶

számítógép által támogatott raktárkészlet ellenırzés, ̶

a kiszállítás lebonyolítása, ̶

tudományos számítások, ̶

információ kínálata tudományos könyvtárakból, ̶

információ kínálata nyílt közkönyvtárakból, ̶

döntéstámogatás, ̶

információ grafikus megjelenítése, ̶

képernyıszöveg (teletext), ̶

elektronikus levelezés ("electronic mail"), ̶

elektronikus adatcsere, ̶

dokumentumok elküldése hálózatokon stb.

Ugyancsak gyakran találkozunk különbözı (tipikusnak nevezhetı) szoftver-fejlesztı rendszerekkel, amelyek azonban az általunk értelmezett alkalmazói körben nem tekinthetık jellemzı alkalmazásoknak. Az informatikai biztonsági koncepció kialakításához a szervezetben már alkalmazott vagy

alkalmazni

kívánt

valamennyi

rendszerre

vonatkozóan

az

itt

felsorolt

alapfenyegetettségek megválaszolása nélkülözhetetlen.

Kérdések a "bizalmasság elvesztése" alapfenyegetettséghez: ̶

Az adatok nyilvánosságra kerülése által személyeknek okozott károktól kell-e tartani? ̶

Mely törvényi elıírások követelik meg az adatok bizalmasságát, titkosságát? ̶

Törvényi korlátozások hatálya alá tartoznak-e a feldolgozandó adatok (mint például a személyeket illetı adatok az adatvédelmi törvény hatálya alá)? ̶

Az adatok nyilvánosságra kerülése esetén várható-e büntetı eljárás? ̶

A feldolgozandó adatok üzemi szempontból bizalmasak vagy minısítettek-e?


263


Okozhat-e károkat, a szervezeti célok szempontjából, a meg nem engedett információkiszivárgás? ̶

Bekövetkezhet-e a meg nem engedett információ-kiszivárgások következtében gazdasági veszteség? ̶

Okozhat-e kárt az adott szervezetnek az adatok nyilvánosságra hozása? ̶

Milyen értékkel bírnak az adatok kívülállók számára? ̶

Mennyibe kerülne egy konkurensnek, hogy adatokhoz jusson? ̶

Elınyökben reménykedhet-e a konkurencia az adatokba való betekintés következtében? ̶

A továbbított, közvetített adatok kívülállók tudomására jutása jelent-e veszélyt? ̶

A kommunikációs kapcsolatoknak titokban kell-e maradniuk? ̶

Az adatok nem szándékolt továbbítása harmadik személy számára okozhat-e károkat? ̶

Bizalmasak-e a gazdasági kapcsolatok? ̶

A felhasználó megköveteli-e a bizalmasságot?

Kérdések a "sértetlenség elvesztése" alapfenyegetettséghez: ̶

A megváltoztatott programfutások kihatásai veszélyeztethetnek-e embereket? ̶

Törvényi rendelkezések megkövetelik-e az adatok sértetlenségét? ̶

A rendeltetésszerő vagy elıírt feldolgozás különleges fontosságú-e? ̶

Veszélyt jelent-e az adatok nemkívánatos módosítása, megváltoztatása? ̶

Milyen

következményekkel

járhat

az

adatok

nemkívánatos

módosítása,

megváltoztatása? ̶

Milyen természető károkat okozhat helytelen vagy nem teljes adatok bevitele vagy kiadása? ̶

264

Milyen károkat okozhat hamis, vagy nem teljes adatok továbbítása?



A felhasználó számára mennyire fontos az adatok és a lefutások sértetlensége? ̶

Szükség van-e az üzenet/adatállomány létrehozójának hiteles azonosítására? ̶

Szükség van-e az üzenet/adatállomány létrehozójának bizonyítható azonosítására? ̶

Szükség van-e az üzenet címzettjének, adatállomány felhasználójának hiteles azonosítására? ̶

Szükség van-e az üzenet címzettjének, adatállomány felhasználójának bizonyítható azonosítására? ̶

Szükség van-e az üzenet elküldésének illetve fogadásának bizonyítására?

Kérdések a "rendelkezésre állás elvesztése" alapfenyegetettséghez: ̶

Az egész informatikai alkalmazásnak vagy egyes szolgáltatásainak a munka szempontjából folyamatosan rendelkezésre kell-e állni? ̶

Jelentıséggel bír-e a szervezeti egység számára, hogy a programok és adatok (egyes programok és adatok) állandóan hozzáférhetık legyenek, rendelkezésre álljanak? ̶

Elhalasztható-e a szervezet szempontjából idılegesen valamely feldolgozás anélkül, hogy károkat okozna? ̶

Az alkalmazás valahol máshol is megvalósítható-e? ̶

Milyen kiadással jár, hogy a számításokat valahol máshol végezzék el? ̶

Milyen következményekkel járhat az informatikai rendszer kiesése, például a felhasználó zavarba kerülése, a szavahihetıség elvesztése, gazdasági veszteségek? ̶

Milyen problémákat okozhatnak az adatvesztések? ̶

Pótolhatók, illetve rekonstruálhatók-e az elveszett adatok? ̶

Milyen ráfordítást igényel az adatok rekonstruálása? ̶

Hány fontos ügyfelet érintene az informatikai rendszer kiesése? ̶

Veszélyeztetheti-e az informatikai rendszer kiesése a szervezetet, vagy más szervezetet,


265

Az informatikai biztonság irányításának vizsgálata szervezeti egységet? ̶

Van-e az informatikai rendszer használatának más alternatívája, például lehetséges-e a manuális feldolgozás? ̶

Milyen következményekkel jár a szervezetre, vagy együttmőködı partnereire nézve, ha a kommunikációs összeköttetések kiesnek? ̶

Milyen követelményei vannak a felhasználónak a rendelkezésre állás vonatkozásában? ̶

Milyen módon veszélyezteti a rendelkezésre állást és a sértetlenséget a mőködıképesség elvesztése? ̶

Milyen következményei vannak annak, ha a helyi hálózat nem mőködıképes? ̶

Milyen következményekkel jár az környezeti infrastruktúra teljes vagy részleges bénulása? ̶

Milyen következményekkel jár a mőködtetı személyzet teljes vagy részleges kiesése? ̶

Milyen veszélyeket rejt a rendszer- és alkalmazói szoftver meghibásodása?

Kárkövetkezmények és azok értékelési rendszere

Károk a személyi biztonság területén: ̶

személyek megsérülése, ̶

személyek megrokkanása, ̶

személyek halála.

Dologi károk: ̶

károk életfontosságú berendezésekben (vízellátás, áramellátás stb.), ̶

környezeti és természeti károk, ̶

károk közlekedési berendezésekben, ̶

károk épületekben,

266



károk informatikai rendszerekben.

Károk a politika és a társadalom területén: ̶

társadalmi csoportok károsodása, ̶

hamis adatok nyilvánosságra hozatala, ̶

személyek intim szférájának megsértése, ̶

személyek vagy csoportok jó hírének károsodása, ̶

bizalomvesztés, ̶

bizalmatlanság az informatika bevezetésével szemben, ̶

kétség a hatóságok eredményességét illetıen, ̶

a szolgálati titoktartási kötelezettség megsértése, ̶

politikai

elbizonytalanodás

(politikai

hivatalnokok

nyugdíjazása,

miniszterek

visszalépése), ̶

az elıírt titoktartás be nem tartása, ̶

bizalmas adatok nyilvánosságra hozatala, ̶

idıhöz kötött adatok idı elıtti nyilvánosságra hozatala, ̶

a nemzetbiztonság veszélyeztetése.

Károk a törvények és elıírások területén ̶

az alkotmány megsértése, ̶

a Polgári Törvénykönyv megsértése, ̶

a Büntetı Törvénykönyv megsértése, ̶

az adatvédelmi törvény megsértése, ̶

a helyi rendelkezések, kommunális rendeletek megsértése,


267


egyes rendelkezések vagy igazgatási elıírások megsértése, ̶

a szerzıi jogok megsértése, ̶

a szabadalmi jogok megsértése.

Károk a gazdaság területén: ̶

pénzügyi károk, ̶

átmeneti mőködésképtelenség, ̶

információs lehetıségek kiesése, ̶

hiányos fizetıképesség, ̶

hiányzó leltár-, készletellenırzés, ̶

hiányzó tervezés-támogatás, ̶

helytelen üzleti döntések, ̶

akadályok az üzemvitelben, ̶

üzemleállások, ̶

termeléskiesés, ̶

a termékminıség csökkenése, ̶

használhatatlan termékek, ̶

termelıberendezések károsodása, ̶

termelı-, üzemi eszközök helytelen használata, ̶

üzemi eszközök lopása, ̶

szállítások késlekedése, ̶

eladási veszteségek, ̶

elesés határidıhöz kötött üzlettıl,

268



kötbér, ̶

a munkatársak elcsüggedése, ̶

a munkatársak zavara, ̶

a megállapodott hallgatási kötelezettség megtörése, ̶

üzemi szempontból bizalmas adatok nyilvánosságra kerülése (személyi adatok, szabadalmi titkok, termelési eljárás stb.), ̶

bizalomvesztés, ̶

a közmegbecsülés elvesztése (image), ̶

vevık elvesztése, ̶

a versenypozíció gyengülése, ̶

negatív eredményő üzletkötés, ̶

verseny pozíció romlása.

Károk a tudomány területén: ̶

a kutatás halasztódása, ̶

eredmények idı elıtti nyilvánosságra kerülése, ̶

hamis név alatti nyilvánosságra hozás, ̶

az eredmények meghamisítása.

A károk értékelése, amint azt már a projektvezetési segédletben (2. fejezet) részleteztük, három meghatározó szempont alapján történhet. Ezek a következık: ̶

a károk egyedi nagyságrendje (értékskála), ̶

a károk valószínő bekövetkezési gyakorisága (gyakoriság skála), ̶

a kárérték és a gyakoriság által keletkezı kockázat (kockázatmátrix).


269


Az értékskála kialakítása A károknak a jelentéktelentıl a katasztrofálisig terjedı nagyságrendjét általában öt érték-kategóriában,

a

károk

típusától

függı

értékekkel

célszerő

hozzárendelni

a

skálabeosztáshoz, amint azt a következı példák szemléletesen mutatják. ♦ "0. szint": jelentéktelen kár •

közvetlen anyagi kár: -10.000,- Ft,

•

közvetett anyagi kár 1 embernappal állítható helyre,

•

nincs bizalomvesztés, a probléma a szervezeti egységen belül marad,

•

testi épség jelentéktelen sérülése egy-két személynél,

•

nem védett adat (nem minısített) bizalmassága, sértetlensége, vagy rendelkezésre állása sérül.

♦ "1. szint": csekély kár •

közvetlen anyagi kár: -100.000,- Ft-ig,

•

közvetett anyagi kár 1 emberhónappal állítható helyre,

•

társadalmi-politikai hatás: kínos helyzet a szervezeten belül,

•

könnyő személyi sérülés egy-két személynél,

•

"Korlátozott

terjesztéső!"

szolgálati

titok

bizalmassága,

sértetlensége,

vagy

rendelkezésre állása sérül, •

személyes adatok bizalmassága vagy hitelessége sérül,

•

csekély értékő üzleti titok, vagy belsı (intézményi) szabályzóval védett adat bizalmassága, sértetlensége, vagy rendelkezésre állása sérül.

♦ "2. szint ": közepes kár •

közvetlen anyagi kár: -1.000.000,- Ft-ig,

•

közvetett anyagi kár 1 emberévvel állítható helyre,

•

társadalmi-politikai

hatás:

bizalomvesztés

a

szervezet

középvezetésében,

bocsánatkérést és/vagy fegyelmi intézkedést igényel, •

több könnyő vagy egy-két súlyos személyi sérülés,

•

„Bizalmas!” szolgálati titok bizalmassága, sértetlensége, vagy rendelkezésre állása sérül,

•

270

személyes adatok bizalmassága, sértetlensége, vagy rendelkezésre állása sérül,



közepes értékő üzleti titok vagy egyéb jogszabállyal (orvosi, ügyvédi, biztosítási, banktitok, stb.) védett bizalmassága, sértetlensége, vagy rendelkezésre állása sérül.

♦ "3. szint ": nagy kár •


•

közvetett anyagi kár 1-10 emberévvel állítható helyre,

•

társadalmi-politikai hatás: bizalomvesztés a szervezet felsı vezetésében, a középvezetésen belül személyi konzekvenciák,

•

több súlyos személyi sérülés vagy tömeges könnyő sérülés,

•

„Titkos!” szolgálati titok bizalmassága, sértetlensége, vagy rendelkezésre állása sérül,

•

szenzitív személyes adatok, nagy tömegő személyes adat bizalmassága vagy hitelessége sérül.

♦ "4. szint ": kiemelkedıen nagy kár •


•

közvetett anyagi kár 10-100 emberévvel állítható helyre,

•

társadalmi-politikai hatás: súlyos bizalomvesztés, a szervezet felsı vezetésén belül személyi konzekvenciák,

•

egy-két személy halála vagy tömeges sérülések,

•

államtitok bizalmassága, sértetlensége, vagy rendelkezésre állása sérül,

•

nagy tömegő szenzitív személyes adat bizalmassága, sértetlensége, vagy rendelkezésre állása sérül,

•

nagy értékő üzleti titok bizalmassága, sértetlensége, vagy rendelkezésre állása sérül.

A gyakoriságskála kialakítása A gyakoriság mértéke alkalmazástól, rendszertıl, védelmi igénytıl függıen más és más lehet. A következı példa illusztrálja, hogyan lehet az értékek jelentését rögzíteni a várható bekövetkezési esetek száma szerint.

"4":

Óránként egy.

"3":

Naponta kettı.

"2":

Hetenként egy.

"1":

Évente öt.


271


"0":

Kétévente egy.

Az informatikai rendszer elemeinek csoportosítása Az informatika rendszer egymással szervesen együttmőködı és kölcsönhatásban lévı elemeit a biztonsági szempontok és védelmi intézkedések célirányos kezelhetısége érdekében meghatározott orientációjú csoportokba soroljuk. Ennek a csoportosításnak a figyelembevételével egyszerősödik a már meglévı és az alkalmazni kívánt újabb rendszerelemeknek, azok különös gondosságot igénylı gyenge pontjainak, valamint az elsısorban a gyenge pontokra ható fenyegetı tényezıknek a feltérképezése, kapcsolataik meghatározása. A kialakított elemcsoportok a következık: a) b) e) g) c) d) f) h) A

a környezeti infrastruktúra elemei, a hardver elemek, a szoftver elemek, a kommunikáció elemei, az adathordozók, a dokumentumok, az adatok, a rendszerelemekkel kapcsolatba kerülı személyek. felsorolások az egyes csoportokon belül természetesen nem lehetnek teljeskörőek,

ezért végig kell gondolni az azokon kívüli elemeket, gyenge pontokat és esetleges további fenyegetı tényezıket.

A környezeti infrastruktúra elemcsoport E1

Épületek Épületek funkcionális leírása Épületek szerkezete, fıbb jellemzıi Bejáratok

272


Az informatikai biztonság irányításának vizsgálata E2

Az informatikai rendszer elemeinek elhelyezésére szolgáló helyiségek Központi erıforrások elhelyezése Rendszerkonzolok elhelyezése Menedzsment munkaállomások elhelyezése Felhasználói munkaállomások elhelyezése Hálózati aktív elemek elhelyezése Központi nyomtatók elhelyezése UPS –ek elhelyezése

E3

Vonatkozó elıírások Tároló helyiségek mágneses adathordozók, papíráruk, dokumentációk, alkatrészek stb. tárolására Adathordozók Mentések Archív adatok hordozói

E4

Dokumentációk Áramellátás Energia betáplálás Szünetmentes energia hálózat Központi erıforrások szünetmentes energiaellátása Felhasználói munkaállomások szünetmentes energiaellátása Az energia rendszerek dokumentáltsága Szünetmentes áramforrások típusai, teljesítmény, áthidalási idı

E5

UPS – számítógép közötti kapcsolatok, UPS menedzsment, automatikus lekapcsolás, újraindítás Klimatizálás (hőtı, főtı teljesítmény, légnedvesítı kapacitás, légszállítás) Központi erıforrások klimatizálása Munkahelyek klimatizálása Tároló helyiségek Egyéb kiszolgáló helyiségek

E6

Vonatkozó elıírások Világítás Vészvilágítás Egyéb munkahelyi világítás


273

Az informatikai biztonság irányításának vizsgálata E7

Belépés-ellenırzı eszközök Beléptetı rendszerek típusa, életkora Zárt területek belépési rendje

E8

Vonatkozó elıírások Tőzvédelmi berendezések Tőzjelzı rendszerek típusa, életkora stb. Tőzoltó rendszerek Központi erıforrások tőzvédelme Karbantartottság, dokumentáltság

E9

E10

Vonatkozó elıírások Vízvédelmi berendezések

Vagyonvédelmi berendezések Riasztók Betörés és behatolás jelzık Riasztó központok, riasztás módja

E11

Karbantartottság, dokumentáltság Villámvédelem Elsıdleges villámvédelem A villámcsapás másodlagos hatásainak kivédésére szolgáló eszközök Lokális hálózatok védelme

A hardver elemcsoport E12

Központi erıforrások, szerverek Szerverek – típus, konfiguráció, felhasználás célja, op. rendszerek Szerverek elhelyezése Hálózati erıforrások

E13

Rendszerkonzolok, felügyeleti munkaállomások Típus, konfiguráció, felhasználás célja

E14

274

Felhasználói terminálok és munkaállomások


Az informatikai biztonság irányításának vizsgálata Típus, konfiguráció, felhasználás célja (típusonként, darabszám) Operációs rendszerek Általános célú (irodai) alkalmazások Hozzáférés védelmi megoldások (BIOS jelszó, stb.) Olvasható formában megjelenítı eszközök

E15

Monitorok Nagy teljesítményő nyomtatók Kis teljesítményő nyomtatók Olvasható formában történı beviteli eszközök

E16

Kézi adatrögzítı eszközök Vonalkód olvasók Scannerek Cserélhetı tárolóeszközök

E17

Mágnesszalagok Optikai lemezek CD-k Floppyk E18

Speciális

biztonsági

berendezések

(például:

rejtjelzı-készülékek,

végpont védelmi eszközök, chippkártya-olvasó, stb.) Rejtjelzı készülékek hozzáférésvédelmi berendezések

A szoftver elemcsoport E19

Alkalmazói szoftverek Humán rendszerek Gazdasági rendszerek Mőszaki rendszerek


275

Az informatikai biztonság irányításának vizsgálata Kereskedelmi rendszerek Általános célú (irodai) szoftverek Levelezı rendszerek, Internet, stb. Menedzsment szoftverek és alkalmazásuk E20

Üzemelı rendszerszoftverek Operációs rendszerek, biztonsági beállítások Rendszer szoftver (pl. backup szoftver) Menedzsment szoftverek Melyik szerveren fut

E21

Pótlólagos szoftverek (pl. biztonságorientált szoftverek) Vírusvédelmi szoftverek Biztonsági szoftverek

Az adathordozó elemcsoport E22

Felhasználói és rendszerszoftverek eredeti hordozói Típusaik (floppy, CD, stb.), tárolásuk körüményei A tárolás szabályai (szabályozottsága)

E23

Biztonsági másolatok (egy meghatározott idıpontban volt állapotok esetleges hibák utáni újraindítás érdekében) Mentések elkészítése Mentési generációk megırzési szabályai Az adathordozók tárolása, felcímkézése Az adathordozónál nagyobb mennyiségő adat mentésének rendje Szabályok, melyek a mentéseket elıírják

E24

Munkakópiák (valamely feldolgozás befejezése utáni állapotot egy további feldolgozás, munkafolyamat során felhasználnak) Különbözı rendszerek közötti adatátadások munkakópiái

276



E25

Archív adatokat tartalmazó adathordozók (olyan adatok, amelyeket - például jogi okokból - hosszabb idıtartamon át meg kell ırizni) Archiválási eljárások Megırzés ideje Tárolás módja Szabályok, melyek az archiválást elıírják

E26

Originál és felszabadított adathordozók (amelyeket még nem vettek használatba vagy amelyek tartalmára a továbbiakban nincs szükség) beszerzési szempontok tesztelés felhasználóknak való kiadás szabályozottsága felhasználóktól való bevonás szabályozottsága megsemmisítés módja

A dokumentáció és dokumentum elemcsoport E27

Rendszer leírások, ismertetık, kezelési, felhasználási utasítások a hardverre, a rendszerszoftverre, az alkalmazói programokra vonatkozóan. megjelenési formájuk (papír alapú/elektronikus) tárolásuk módja felhasználókhoz való eljuttatásuk módja

E28

Üzemi elıírások, amelyek betartásával biztosítható az informatikai rendszer megbízható üzemeltetése (normálüzem, adatbiztosítás, újraindítás, szükséghelyzet, biztonsági eljárás, ırzés/tárolás, stb.) megjelenési formájuk (papír alapú/elektronikus) õrzés/tárolásuk módja

E29

Jegyzıkönyvek, jegyzıkönyvi kivonatok, levelek


277

Az informatikai biztonság irányításának vizsgálata megjelenési formájuk (papír alapú/elektronikus) õrzés/tárolásuk módja E30

Nyilvántartások, kimutatások megjelenési formájuk (papír alapú/elektronikus) õrzés/tárolásuk módja

E31

Alkalmazási kivonatok (teljes körő szabályzatokból adott célra készült kivonatok) megjelenési formájuk (papír alapú/elektronikus) õrzés/tárolásuk módja

Az adatok elemcsoport E32

Adatok a bevitel/beadás folyamatában a különbözõ rendszerek adatbeviteli módjai (manuális, scanner, hálózaton) beépített ellenõrzési pontok rendszerenként

E33

Adatok a feldolgozás folyamatában

E34

Tárolt adatok (tartósan vagy csak a feldolgozás idejében). adatok tárolási módja, feldolgozásra váró, feldolgozott, archívált adatok

E35

Adatok a kivitel folyamatában (képernyıre, nyomtatóra, plotterre, adathordozóra vagy átviteli csatornára).

278



A kommunikáció elemcsoport E36

Telefon/Fax

E37

ISO-OSI protokoll modell fizikai réteg LAN kábelezés (topográfiája, kábelek, passzív elemek) alkalmazott HUB/Repeater, transceiver berendezések WAN hálózati technológiák (MLLN, ISDN, VSAT, X.25, stb.) külsõ kapcsolódási pontok fizikai szintjei (Remote Access, Internet, Home Banking, stb)

E38

ISO-OSI protokoll modell adatkapcsolati réteg alkalmazott LAN technológia (Ethernet, TokenRing, FDDI, Fast Ethernet, 100VG, ATM) hálózati kártyák hálózat adatkapcsolati szintő szegmentálása, LAN Switch-ek VLAN -ok Bridge berendezések WAN adatkapcsolati szintő protokollok (PPP, HDLC, stb.)

E39

ISO-OSI protokoll modell hálózati réteg hálózat felépítése, struktúrája, LAN/WAN alkalmazott router berendezések típusa, biztonsági beállításai alkalmazott hálózati protokollok (IPX/SPX, TCP/IP, NetBEUI) alkalmazott routing protokollok router beállítások

E40

ISO-OSI protokoll modell szállítási réteg Protokoll szőrések, tőzfal berendezések

E41

ISO-OSI protokoll modell viszony réteg hálózati hitelesítés (pl. Novell: IPX Packet Signature)

E42

ISO-OSI protokoll modell megjelenítési réteg


279

Az informatikai biztonság irányításának vizsgálata Hálózati titkosító berendezések Hálózati tömörítõ eljárások E43

ISO-OSI protokoll modell alkalmazási réteg Hálózati alkalmazások (Menedzsment, E-Mail, Szerver-kliens felépítéső adatbáziskezelõ, stb.)

A személyek elemcsoport Az üzemeltetı személyek (operátorok, rendszergazda/adminisztrátor,

E44

felhasználók a terminálnál, a rendszer kezelıi, karbantartói). İrzı-védı feladatok ellátást biztosító személyzet (szolgálati és biztonsági

E45

felügyelet) E46

Vezetık

E47

Ügykezelık, ügyintézık

E48

Segédszemélyzet (takarítók, a segédberendezések karbantartói)

Az elemcsoportok veszély-szempontú összefüggései Más elemcsoportok függıségei a környezeti infrastruktúrától Valamely alapfenyegetettség bekövetkezése

bármely csoport

elemeinél olyan

következményekkel járhat, amelyek más csoportok elemeire is kihathatnak. Ezért érdemes

̶

áttekinteni, ha csak vázlatosan is, ezeket a veszélyeket: A tároló helyiségek hozzáférhetıségének hiánya az egész informatikai alkalmazást

̶

veszélyeztetheti. A jogosulatlan belépés kihasználható a hardverek, adathordozók stb. károsítására,

̶

roncsolására, eltávolítására vagy manipulációjára. A megszakított átviteli vezetékek a kommunikáció rendelkezésre állását fenyegetik, a manipulált vezetékek pedig a kommunikáció bizalmasságát vagy/és sértetlenségét

̶

veszélyeztetik. Az áramellátás és a klimatizálás hibái vagy kiesései befolyásolják a hardver megbízhatóságát. 280


̶

Az informatikai biztonság irányításának vizsgálata A világítás és a telefon hibái vagy kiesései akadályozhatják azoknak a személyeknek a

̶

tevékenységét, akik az informatikai rendszert kezelik vagy használják. A védelmi berendezések hibái, kiesései ismét hatni engedhetik az eredendıen meglévı

̶

fenyegetı tényezıket. A szenzitív helyiségekbe való belépés ellenırzése kulcsszerephez jut a biztonsági intézkedések között: az ellenırizetlen belépés lehetıvé teszi különbözı fenyegetı

̶

tényezık bekövetkezését. A környezeti infrastruktúra rendszerelemeirıl való ismeretek illetéktelenek tudomására jutása általában elıfeltétele a sértetlenség vagy a rendelkezésre állás szándékos fenyegetésének. Ebben az értelemben alapfenyegetettséget képez.

̶

Más elemcsoportok függıségei a hardvertıl A hardver kiesése vagy hibás mőködése veszélyt jelent az üzemelı rendszerszoftverre, az alkalmazói szoftverre, valamint az adatokra, rendelkezésre állásukat, és sértetlenségüket

̶

illetıen egyaránt. A tárolóeszközök területén bekövetkezı üzem zavarok, üzem kiesések a programok és az

̶

alkalmazói adatok károsodásához vagy sérüléséhez vezethetnek. A cserélhetı tárolóeszközök, - készülékek elérhetıségének és épségének hiánya megakadályozza biztonsági másolatok készítését, amelynek segítségével rendszer-

̶

károsodások után az újraindítás lehetıvé válna. A cserélhetı tárolóeszközök ellenırizetlen használata (például lemezmeghajtók esetében) olyan fenyegetést válthat ki, hogy lehetıvé teszi új vagy megváltoztatott szoftverek

̶

bevitelét. A cserélhetı tárolóeszközök lehetıvé teszik nagy adatmennyiségek gyors másolását kompakt adathordozókra. Helytelen használatukkal különös mértékő veszélynek van

̶

kitéve az adatok és programok bizalmassága. A hálózatokba való bejelentkezést és a hálózatok közötti kapcsolatokat hardverek és szoftverkomponensek kombinációja révén valósítják meg. Ezeknek a komponenseknek a manipulációja veszélyeztetheti a hálózaton való kommunikációt (bizalmasságát és Magyar Informatikai Biztonság Irányítási Követelményrendszer

281

Az informatikai biztonság irányításának vizsgálata sértetlenségét egyaránt) és lehetıvé teheti az illegális hozzáférést a hálózathoz, vagy a hálózaton keresztül az ahhoz kapcsolt informatikai rendszerekhez. ̶

A biztonsági berendezések hibái vagy kiesése az eredendıen meglévı fenyegetést ismét hatásossá tehetik. ̶

A rendszerkonzolok kiesése vagy hibás mőködése azzal a következménnyel járhat, hogy nem mőködtethetık a rendszerfelelıs, rendszeradminisztrátor számára fenntartott üzemszerő rendszerszoftverek. ̶

Az elektromágneses és akusztikus kisugárzás (különösen az input és az output eszközökrıl), ha detektálják és kiértékelik azt, az adatok bizalmasságának elvesztését okozhatja.

Más elemcsoportok függıségei az adathordozóktól ̶

Az adathordozóknál bekövetkezett bármelyik alapfenyegetettség a rajtuk jelenlévı szoftverek vagy adatok felhasználhatóságát veszélyezteti. ̶

A korrekt, eredeti szoftver verziók, a szoftver helyreállításához szükségesek katasztrófák vagy vírusfertızés bekövetkezése után. ̶

Biztonsági másolatok nélkül az újraindítás súlyos rendszerhibák esetén nem lehetséges. ̶

Munkakópiák nélkül az alkalmazói adatok legfrissebb állapota nem áll rendelkezésre. ̶

Hibás vagy inkorrekt archív adatok jogi és pénzügyi következményeket vonhatnak maguk után. ̶

Hibás vagy inkorrekt naplózási, jegyzıkönyvi adatok elértéktelenítik a jegyzıkönyvezés biztonsági intézkedését. ̶

A naplózási adatokba való jogosulatlan betekintés a lehetséges tettesek számára adhat útmutatásokat a támadási pontok feltérképezésére. ̶

Az adathordozók ellopása vagy másolása az adatok megbízhatóságát, bizalmasságát fenyegetheti és a szerzıi jogok megsértését jelentheti. ̶

A nem törölt adathordozók ismételt felhasználása veszélyezteti a tárolt alkalmazói adatok bizalmasságát.

282



Más elemcsoportok függıségei a dokumentumoktól ̶

Az utasítás jellegő információkat tartalmazó dokumentumok hibás volta vagy o kezelıi hibákhoz, o a hardver és/vagy a szoftver használhatatlanságához o programok és adatok elvesztéséhez, o a hardver károsodásához, o a biztonsági intézkedések hatástalanságához o vezethet. ̶

A naplózási adatok manuális kiértékelésén nyugvó biztonsági intézkedések hatásossága múlik azon, ha ezek az adatok nem elérhetıek, vagy nem korrektek, illetve ha jogosulatlanok megismerték azokat. Más elemcsoportok függıségei a szoftvertıl ̶

Az alkalmazói szoftver valósítja meg - az adatokkal együtt - az informatikai szolgáltatásokat

az

üzemelı

rendszerszoftver

bázisán.

Ezért

azután

alapfenyegetettségei az informatikai alkalmazás rendelkezésre állását, sértetlenségét és bizalmasságát egyaránt fenyegetik. Az alkalmazói szoftver hibái mindig káros kihatásokkal járnak. Üzembe helyezése elıtt a szoftver korrektségének vizsgálata (minıségbiztosítás) fontos biztonsági szempont. Ez attól függetlenül érvényes, hogy a szoftverfejlesztés az alkalmazó ellenırzése alatt történt-e, vagy sem. ̶

Az üzemi és a rendszerszoftver vonatkozásában ugyanaz érvényes, amit az alkalmazói szoftverre nézve elmondtunk. Különösen kritikus ezek megítélése, hogy ha eredetük vagy forgalmazási útjaik nem ismertek. Az üzemelı rendszerszoftver rendelkezésre állása magától értetıdı elıfeltétele mind az alkalmazói szoftver, mind pedig az alkalmazói adatok rendelkezésre állásának. ̶

Az üzemelı rendszerszoftver sértetlenségének elvesztése (azaz korrekt funkcionálási módjának sérülése) az alkalmazói szoftver és az alkalmazói adatok vonatkozásában mindhárom alapfenyegetettséget maga után vonhatja.


283


A rendszeradatok manipulációja a legkülönbözıbb természető mélyre ható következményekkel járhat, például a bejutás ellenırzésének kikerülésével, a hozzáférési jogok kibıvítésével, nyomok eltüntetésével és általában a védelem félrevezetésével. ̶

A rendszeradatok illetéktelen ismerete (például felhasználó neve, adatszerő jegyzékek tartalma) bármelyik potenciális támadó számára támadási pontokat és a behatolásához segítséget nyújthat. ̶

Olyan idegen szoftverek átvétele, amelyek eredete ismeretlen vagy ingyenes (public domain software, shareware stb.), különösen a személyi számítógépek területén jelent nagy biztonsági kockázatot (vírus). ̶

Az olyan többnyire alacsony értékő szoftvercsomagok, amelyek pótlólagos biztonsági funkciókat kínálnak, fenyegetést jelenthetnek, amennyiben korrektségük nem biztosított. Olyan biztonságot ígérnek ugyanis, amely esetükben nem adott. ̶

Egyes programok hatásmódját (például azt, mely metódusokat használunk a vírusfelismeréshez) bizalmasan kell kezelni, hogy ne lehessen megkerülni azokat. Az adatok és a kommunikáció elemcsoport függıségei o Az adatok és a kommunikáció általunk értelmezett elemcsoportjai általában közvetlenül nem veszélyeztetik a többi elemcsoportot. Annál jelentısebb viszont saját veszélyeztetettségük kihatása az informatikai rendszer egészének

̶

korrekt mőködésére. Az adatokat "dinamikus" (keletkezı, változó, megszőnı) rendszerelemként kell felfognunk, amelyek meglétük egész ideje alatt és fellépésük minden egyes helyén

̶

fenyegetı tényezıknek vannak kitéve. Az adatok az informatikai rendszeren belül az alkalmazó információit jelentik. Ebbıl következıen valamely alapfenyegetettség bekövetkezése az alkalmazói adatoknál

̶

közvetlen módon befolyásolja azok rendelkezésre állását, sértetlenségét és bizalmasságát. Az adatok alapfenyegetettsége végül is a többi elemcsoport alapfenyegetettségébıl következik. Direkt kiváltóként a hardver, az adathordozók, a szoftver, a kommunikáció és a személyek elemcsoportok jönnek szóba.

284



Az alkalmazói adatok bevitelük elıtt (összegyőjtés, elıkészítés stb.) és kiadásuk, illetve (nem gépi) tárolásuk után (ábrázolás, elosztás, ismételt feldolgozás stb.) kívül esnek az informatikai biztonság hatókörén. ̶

A kommunikáció adatai - technikai szinten - információkat képeznek, amelyek az informatikai-alkalmazás részei. Éppen ezért ezen adatok alapfenyegetettsége egyenes következményként vonja maga után a szolgáltatás és az információ fenyegetését, ezek rendelkezésre állását, sértetlenségét vagy bizalmasságát illetıen. ̶

A kommunikációs hálózatok esetében a fenyegetı tényezık két fajtája létezik. Az egyik fajta esetében a hálózat csak a célrendszerhez való hozzájutási útként tekintendı, a támadási cél ugyanis maga a célrendszer. A második fajta egyenesen a hálózat, mint átviteli eszköz ellen irányul. Itt az átvitt adatok mindenekelıtt sértetlenségüket és bizalmasságukat illetıen vannak fenyegetéseknek kitéve. További problémát jelent a partnerek hitelesítése, amely általában védelemigényes. A küldı biztos kell legyen abban, hogy üzenete valóban a tényleges címzetthez és csak hozzá jut el. A fogadónak biztosnak kell lennie abban, hogy a kapott üzenet valóban a vélt feladótól származik. A hitelességet szükség esetén mindkét félnek bizonyítania kell. Fenyegetésnek vannak kitéve a partnerkapcsolatok is, amennyiben azokat bizalmasan kell kezelni. ̶

Fontos megkülönböztetést tenni az ellenırizhetı és nem ellenırizhetı hálózatok között, mivel a lehetséges fenyegetettség megítélését illetıen lényegesen különböznek. Az ellenırizhetı hálózatok a résztvevık szempontjából áttekinthetık. Ugyanez vonatkozik helyzetükre és az egyes hálózati komponensek védelmére stb. Lehetıvé teszik, hogy maga az alkalmazó védelmi intézkedéseket tegyen (például lehallgatásbiztos vezetékek lefektetése, a hálózatot üzemeltetı személyzet vizsgálata), mindezek az ellenırizhetetlen hálózatoknál nem lehetségesek. A nyilvános hálózatok bizonyos potenciális fenyegetı tényezıi ellen (például hibás hálózati szoftver, a továbbítandó adatokkal való visszaélés, a szerver kiesése) a hálózat használója egyáltalán nem védekezhet, ha a hálózat üzemeltetıje nem tesz elıvigyázatossági intézkedéseket. Más elemcsoportok függısége a személyektıl ̶

Miután az informatikai rendszerek csak a technika és az emberek együttesével mőködésképesek, a személyekbıl olyan fenyegetések indulhatnak ki, amelyek csaknem valamennyi rendszerelemet érinthetik. Ezáltal tehát az informatikai


285

Az informatikai biztonság irányításának vizsgálata személyzet rendelkezésre állása, sértetlensége és bizalmassága meghatározóan fontos valamennyi más elemcsoport megbízható mőködése és védelme szempontjából.

Gyenge pontok

Gyenge pontok a környezeti infrastruktúra területén G1

Nem védett átviteli vezetékek (károsodás, megcsapolás)

G2

Közös kábelvezetések (tőz, szabotázs)

G3

Cégen kívüli személyek (látogatók, szerelõk, szállítók stb.) bent tartózkodása

G4

Cégen belüli személyek szükségtelen bent tartózkodása

G5

Nem felügyelt munkálatok az épületekben, helyiségekben, kisegítõ létesítményekben, vagy azokon kívül, melyeket külsõ személyek folytatnak (például ablaktisztítás, elektromos vagy telefonszerelés, építési munkálatok stb.)

G6

Az informatikai berendezések nem védett helyzete (például a nyílt utcán, kerítés nélküli épületekben, a munkaidõn kívüli õrzés hiánya esetén stb.)

G7

A belépési biztonság hanyag kezelése

G8

A védelmi berendezések mőködési módjának vagy gyengeségeinek jogosulatlanok általi megismerése (például a vezetékek lefutása, riasztórendszerek kapcsolási vázlatai, különösen pedig a számítógép-vezérelt belépés-ellenõrzés)

Gyenge pontok a hardver területén G9

A készülékek csekély súlya (lopás könnyen lehetséges)

G10 A készülékek csekély mérete (lopás könnyen lehetséges) G11 Érzékenység az elektromágneses sugárzással szemben G12 Kompromittáló kisugárzás lehetõsége (például képernyõkrõl és rézkábelekrõl) G13 Tartozékok (például nyomtatópapír, festékszalagok) utánpótlásának szervezetlensége G14 Ütésérzékenység

Gyenge pontok az adathordozók területén G15 Nem védett tárolás G16 Kapcsolható írásvédelem G17 Fizikai instabilitás

286


Az informatikai biztonság irányításának vizsgálata G18 Mágneses érzékenység G19 Szakaszos demagnetizálódás hosszabb tárolás esetén G20 Elöregedés G21 Érzékenység a hõmérsékletre és a nedvességre stb. G22 Tartalmuk emberek számára technikai segédeszközök nélkül is könnyen hozzáférhetõ G23 Könnyen szállíthatóak G24 A szállítás nehezen ellenõrizhetõ G25 Rendszerek közti cserélhetõség G26 Tárolóképesség (nagy adatmennyiségek) G27 Újrafelhasználhatóság elégtelen kezelése

Gyenge pontok a dokumentáció és a dokumentumok területén G28 A dokumentumok hiányzó adminisztrációja G29 Hiányzó változásmenedzsment G30 A felhasználói dokumentáció közvetlen elérhetıségének hiánya (a felhasználó számára) G31 Nem védett tárolás (tőz, lopás) G32 Nem kellõ gondosság a kiselejtezésnél vagy megsemmisítésnél G33 Az ismeretek szükségtelen bõvítése G34 Ellenõrizetlen sokszorosítási lehetõségek

Gyenge pontok a szoftver területén G35 Nem világos, vagy nem teljes eljárás a szoftver fejlesztés, elõállítás során (specifikációs hiba) G36 A programok ellenõrzésének és átvételének hiánya G37 Az új vagy változtatott szoftverek nem kielégítõ minõsítõ eljárása G38 Bonyolult felhasználói felület G39 A logikai belépés ellenõrzésének hiánya (felhasználó hitelesítés) G40 Az események hiányzó naplózása, jegyzõkönyvezése (például belépés, CPU-használat, file-ok megváltoztatása) G41 A rendszerszoftver hibáinak vagy biztonsági réseinek ismertté válása G42 A jelszótároló olvashatósága G43 A kódoló/titkosító algoritmus ismerete


287

Az informatikai biztonság irányításának vizsgálata G44 Más felhasználókról való tudomásszerzés lehetõsége (felhasználó felismerés, aktív folyamatok, az utolsó bejutás idõpontja stb.) G45 Lehetõség ismeretek szerzésére a távoli számítógépekrõl G46 A jelszó-mechanizmus helytelen kezelése (rövid vagy könnyen kitalálható jelszavak, ritka vagy elhagyott változtatás stb.) G47 Felhasználó-felismerés jelszó nélkül vagy közös jelszavakkal G48 A régi bevitelek törlésének elmaradása G49 A hozzáférési jogok helytelen odaítélése. G50 Szükségtelenül nagy hozzáférési jogok a felhasználók számára G51 Korlátozott adminisztratív feladatokat ellátó személyek részére szükségtelenül biztosított jogok G52 Más felhasználók ismeretlen programjainak használata (vírusfertõzés) G53 Adathordozók (mágneslemezek, kazetták) ellenõrizetlen használata G54 A "kilépés" elhagyása a termináltól való távozás esetén G55 Közös használatú üzemi eszközök alkalmazása ("rejtett csatornák") G56 Távolról történõ karbantartás G57 Távoli adminisztráció (például a hálózatellenõrzés/adminisztrációs táblázatok) G58 Szoftver importja a hálózaton keresztül (például mailboxból)

Gyenge pontok az alkalmazói adatok területén A bevitel során: G59 A beadott adatok hiányzó vagy nem kielégítõ ellenõrzése G60 Nem kielégítõ védelmi berendezések A feldolgozás során: G61 Szoftverhiba G62 Hiányzó hibakezelõ eljárás a hardverben és a szoftverben G63 Hiányzó újraindítás-elõkészítés a hardverben és a szoftverben A tárolás során: G64 Szükségtelen hozzáférési jogok G65 Az adatterületek törlésének hiánya az újrafelhasználás elõtt A kiadás során:

288


Az informatikai biztonság irányításának vizsgálata G66 Adathordozóra írás ellenõrzõ olvasás nélkül G67 Emberi kudarc

Gyenge pontok a kommunikáció területén A hálózatokban: G68 Átviteli vonal károsodás, megszakadás G69 Hiba források a hálózati szoftverben és hardverben G70 A hálózati szoftver és hardver manipulálhatósága G71 Az elõírásoktól eltérõ használat G72 A hálózat- és az átvitelvezérlés manipulálhatósága Az adatok (üzenetek) átvitelénél: G73 Lehetõség az üzenetek lehallgatására G74 Lehetõség az üzenetek meghamisítására G75 Az adó és a fogadó hiányzó azonosítása és hitelesítése G76 A jelszavak vagy titkos kulcsok nyílt szövegben való továbbítása G77 Függés az átvitel sorrendjétõl G78 Lehetõség az üzenetek újra lejátszására G79 Valamely üzenet elküldésének hiányzó bizonyítása G80 Valamely üzenet "kézhezvételének" hiányzó bizonyítása

Gyenge pontok a személyek körében G81 A kiesés sokrétő lehetõségei (sérülés, betegség stb.) G82 Nem kielégítõ kiképzés G83 Hiányos biztonságtudat G84 A fenyegetettségi helyzet ismeretének hiánya G85 Kényelmesség G86 A fenyegetettségi helyzet lebecsülése G87 Megszokási veszélyhelyzetek G88 A frusztrációval szembeni hiányos tolerancia G89 Elõre nem látható viselkedés (motívumok, szándékok) G90 Áttekinthetetlen viselkedés (nyíltság, visszahúzódás) Magyar Informatikai Biztonság Irányítási Követelményrendszer

289

Az informatikai biztonság irányításának vizsgálata G91 Az egyes individuumok különbözõsége G92 Különbözõ szellemi képességek G93 Különbözõ ismeretek G94 A motívumok és kiváltó tényezõk sokrétősége G95 Lehetõség az együttmőködésre G96 Hiányzó vagy hiányos ellenõrzés

Fenyegetések

Fenyegetı tényezık a környezeti infrastruktúra területén ”Vis maior": F1 Földrengés F2 Áradás F3 Orkán F4 Villámcsapás F5 Robbanás F6 Repülıgép lezuhanás F7 Sztrájk F8 Háborús cselekmények Személyek által kifejtett erıszak: F9

Robbantásos merénylet, fegyveres behatolás

F10 Gyújtogatás, sav, vandalizmus F11 Betörés, illetéktelen behatolás A közmőellátás zavarai vagy kiesése a következı területeken: F12 Áramellátás F13 Vízellátás Ellenırizetlen belépés az épületbe, helyiségekbe, ellátó és védelmi beruházásokhoz, vezetékekhez az alábbi személyek által: F14 Jogosulatlan Társaságon belüli személyek F15 A Társaságon kívüli személyek A szervezeten kívüli személyek tartózkodása a Társaság telephelyén F16 Látogatók, ügyfelek, partnerek F17 Más hatósági személyek A szervezeten kívüli személyek által végzett munkálatok F18 Takarítás F19 Elektromos szerelés

290


Az informatikai biztonság irányításának vizsgálata F20 Telefonszerelés F21 Kábelszerelés, -fektetés F22 A kisegítı berendezések karbantartása F23 Festési munkálatok a helyiségekben vagy az épületben F24 Építési munkálatok a helyiségekben vagy az épületben F25 Informatikai komponensek karbantartása és üzembe helyezése F26 Ellátó és védelmi berendezések technikai hibája vagy kiesése Vészhelyzet F27 Tőz (például rövidzárlat miatt) F28 Vízbetörés (például csıtörés miatt)

Fenyegetı tényezık a hardver területén Spontán (külsı behatások nélküli) hiba vagy kiesés az alábbiak miatt F29 Elöregedés vagy kopás (elektronikus, mechanikus) F30 Mechanikai zavarok (például lemezhiba) F31 Tervezési és elkészítési hiányosságok (például új chipek) Környezeti hatások F32 Feszültségcsökkenések az áramellátásban F33 A hımérsékleti értékek vagy a levegı nedvességtartalmának felszökése vagy leesése F34 Piszkolódás (por, dörzspor) F35 Elektromágneses zavaró sugárzás F36 Elektrosztatikus feltöltıdés F37 A szoftver által kiváltott hibák a hardverben

Személyekkel összefüggı fenyegetés Hiba a kezelés, a karbantartás vagy a konfigurálás során F38 Írásvédelem be-/kikapcsolás F39 Modem be-/kikapcsolás F40 Kapcsoló beállítása F41 Készülékek kikapcsolása F42 Hibajelenségek figyelmen kívül hagyása, hibák nem elıírt kezelése F43 Hamis adathordozók


291

Az informatikai biztonság irányításának vizsgálata Manipulációk (célzott funkcióváltoztatás) F44 Kábeltoldások cseréje F45 Akkumulátor töltésmegszakító áthidalása Erıszakos cselekmény: F46 Készülékek károsítása vagy roncsolása F47 Készülékek ellopása A bevitel/kiadás elolvasása F48 Nyomtatóról (papír) F49 Képernyırıl (különösen jelszavak) Egyéb fenyegetı tényezık F50 Kiesések a hiányzó tartozékok miatt (például nyomtatópapír, festékszalagok) F51 Az elektromágneses kisugárzás kiértékelése (például a képernyıé) F52 Az akusztikus kisugárzás kiértékelése (például a nyomtatóé)

Fenyegetı tényezık az adathordozók területén A rendelkezésre állást fenyegetı tényezık F53 Lopás F54 Szándékos megkárosítás (mechanikus, mágneses stb.) F55 Károsodás külsı események miatt, például tőz, víz F56 Károsodás helytelen kezelés vagy tárolás miatt Lásd F55! F57 Elöregedés miatti használhatatlanság (demagnetizálódás, mechanikai változások) F58 Károsodás környezeti körülmények miatt (hımérséklet, nedvesség stb.) Lásd F55! F59 Már nem fellelhetı adathordozók (nem szabályszerő tárolás) Lásd F55! F60 Hibásan legyártott adathordozók (fizikai íráshiba) F61 Használhatatlanság a hiányzó kódoló, illetve dekódoló (átjátszó) berendezések miatt F62 Használhatatlanság az inkompatibilis formátum miatt (logikai és fizikai értelemben) A sértetlenséget fenyegetı tényezık F63 Hiányzó vagy nem kielégítı jelölés Egyaránt vonatkozik az adathordozón kívül vizuális és az adathordozó gépi azonosítására szolgáló fejlécének elektronikus formában megjelenı jelölésre. F64 A jelölés meghamisítása F65 Ismeretlen vagy kétséges eredető adathordozók használata

292


Az informatikai biztonság irányításának vizsgálata A bizalmasságot fenyegetı tényezık F66 Az adathordozók újrafelhasználásra vagy megsemmisítésre történı kiadása elızetes törlésük vagy átírásuk nélkül Fenyegetı tényezık az adathordozók kezelésével összefüggésben F67 Ellenırizetlen hozzájutás az adathordozókhoz F68 A szervezet tulajdonát képezı adathordozók privát célú használata F69 Privát adathordozók szolgálati használata F70 Ellenırizetlen másolás

Fenyegetı tényezık a dokumentumok területén A rendelkezésre állást fenyegetı tényezık F71 Dokumentumok, kézikönyvek, leírások teljes hiánya (nincs is megírva vagy nem vették meg) F72 Átmeneti eltávolítás vagy kikölcsönzés F73 Elvesztés F74 Elkeveredés (ismeretlen tárolási hely) F75 Olvashatatlanság (kézirat, kifakult másolatok) F76 Az adott dokumentum ismeretlen volta A sértetlenséget fenyegetı tényezık F77 A teljesség hiánya F78 Hibák a leírásokban F79 Hiányzó aktualitás F80 Jogosulatlanok által bevezetett változtatások F81 Jogosulatlanok által történt kicserélés A bizalmasságot fenyegetı tényezık F82 Jogosulatlan tudomásra jutás F83 Gondatlanság a kiselejtezés vagy megsemmisítés során (papírdaráló, szemétszállítás, használtpapír-kereskedés) F84 Jogosulatlan sokszorosítás

Fenyegetı tényezık a szoftver területén Szoftverhiba F85 Hiba az alkalmazói szoftverben


293

Az informatikai biztonság irányításának vizsgálata F86 Hiba az üzemelı rendszerszoftverben F87 Ismert hibák figyelmen kívül hagyása Jogosulatlan bejutás az informatikai rendszerbe a kezelıi helyrıl vagy a hálózatról F88 A bejutás ellenırzésének hiánya F89 A bejutás ellenırzésének megtévesztése vagy áthidalása F90 A felhasználó figyelmetlensége Nemkívánatos hozzáférés az alábbiak révén F91 Szükségtelen hozzáférési jogok (más felhasználók programjaihoz és adataihoz vagy rendszerprogramokhoz és rendszeradatokhoz) F92 A hozzáférési jogokkal való visszaélés Szoftver ellenırizetlen bevitele F93 Az üzemi rendszer ellenırizetlen töltése F94 Idegen alkalmazói programok letöltése, telepítése F95 A felhasználó programfejlesztése Vírusveszély F96 Ismeretlen vagy nem megbízható eredető programok használata F97 Saját programok használatbaadása más felhasználóknak F98 Kezelési hiba vagy visszaélés a kezelési funkciókkal F99 Karbantartási hiba vagy visszaélés a karbantartási funkciókkal, helytelen karbantartási funkciók (távoli karbantartás a hálózaton keresztül) F100 A szoftver sérülése, károsodása vagy használhatatlansága hardver hibák miatt F101 Jogosulatlan információnyerés a közösen használt üzemi eszközök révén

Fenyegetı tényezık az alkalmazói adatok területén F102 Hardver hibák által keletkezı adatvesztések, károsodások, eltérések F103 A szoftver által okozott adatvesztések, károsodások, eltérések (hibás vagy manipulált alkalmazói, illetve rendszerprogramok által) F104 Adathordozók által okozott adatvesztések, károsodások, eltérések Emberek által okozott fenyegetı tényezık F105 Hibás manuális adatbeadás/változtatás F106 Hibás futtatásvezérlés vagy kezelés (hibás utasítás vagy paraméter stb.) F107 Manuális program- vagy rendszermegszakítás F108 Jogosultak általi törlés/változtatás (tévedésbıl/szándékosan)

294


Az informatikai biztonság irányításának vizsgálata F109 Jogosulatlanok általi törlés/változtatás Szükségtelen vagy kellı idıben meg nem szüntetett hozzáférési jogosultságok. F110 Kiadások meghamisítása F111 A bevitelek/kiadások elolvasása F112 Adatok jogosulatlan másolása F113 A fizikailag nem törölt adatterületek kiértékelése (tároló, adathordozók)

Fenyegetı tényezık a kommunikáció területén A hálózatok elleni fenyegetések F114 Jogosulatlanok bejutása a hálózatba nem ellenırizhetı csatlakozások révén F115 Jogosulatlanok bejutása a hálózatba technikai manipulációk révén a házon belüli hálózatokon, F116 A közvetítı berendezések hibás viselkedése vagy kiesése mőszaki hibák vagy hibás hálózati szoftverek miatt F117 Szabotázs/erıszakos cselekmény F118 Hálózati hardverek/szoftverek manipulálása F119 A fájlszerver kiesése vagy hibája helyi hálózatban F120 A többletérték szolgáltatások bizonytalan üzemeltetése a közüzemi hálózatokban F121 Zavaró befolyások (átviteli hibák) F122 Sérülés, károsodás F123 Manipuláció (aktív vagy passzív rácsatlakozás) F124 Nem várt forgalmazási csúcsok F125 Célzott túlterhelési támadások Az átvitelben résztvevı adatokat (üzeneteket) fenyegetı tényezık F126 Az üzenetek lehallgatása F127 A vezetékek kompromittáló sugárzásának kihasználása F128 Üzenetek megváltoztatása F129 Üzenetek elvesztése A kapcsolatokat fenyegetı tényezık (kommunikációs kapcsolatok) F130 Az üzenetek hibás helyre vezetése F131 Az üzenetek helytelen sorrendje a fogadónál F132 Üzenetek ismételt lejátszása F133 A kapcsolat felépítésének lehallgatása


295

Az informatikai biztonság irányításának vizsgálata F134 A kapcsolat felépítése meghamisított azonossággal F135 Valamely üzenet meghamisítása az adó, a közvetítı vagy a fogadó által F136 Az üzenet tartalmának meghamisítása a küldı vagy a fogadó által F137 A kommunikációs kapcsolatok kikutatása (forgalmazás-elemzés), a kommunikációs partnerek névtelenségének veszélyeztetése

Fenyegetı tényezık a személyek területén Kiesések F138 Elıre látható események (felmondás, áthelyezés, szabadság) F139 Elıre nem látható események (halál, betegség, baleset, sztrájk) F140 Munkahelyi eredető egészségkárosodás (sérülés vagy betegség) Szándéktalan hibás viselkedés F141 Személyes vagy munkahelyi stresszhelyzetek, fáradság miatt F142 Tudatlanságból (hiányzó vagy hiányos kiképzés) F143 A munkamenet hibás szabályozása miatt F144 Az elıírások ismeretének hiánya miatt F145 Az elıírások figyelmen kívül hagyása (kényelmesség, akadályoztatás, figyelmetlenség) miatt F146 Hiányos biztonságtudat miatt (ismeret hiánya, megszokás) F147 Túl komplikált (hibákra érzékeny) kezelés miatt F148 A hiányzó ellenırzés miatt Szándékos hibás viselkedés (önállóan vagy együttmőködésben) F149 Harmadik személyek nyomására (fenyegetés, zsarolás, megvesztegetés) F150 Belsı késztetésre (meggazdagodás, bosszú, frusztráció stb.) Belsı ismeretek továbbadása harmadik személyeknek F151 Gyanútlanul, nagyvonalúságból F152 Bőnözési szándékkal

296


Az informatikai biztonság irányításának vizsgálata Kockázat minısítési segédletek A kockázatelemzés, értékelés és minısítés összesítı táblázata


Melyik alapfenyegetettségre nézve releváns


Kárérték

Gyak. Kockázat érték minısítés

Az informatikai biztonsági intézkedések kidolgozásának szempontjai A környezet intézkedési szempontjai A környezeti infrastruktúra területén: Megfelelı helyválasztás a központi és a decentralizált kiépítésekhez. Biztonsági zónák rögzítése (például látogatók, munka-, védelmi zónák). A biztonsági zónákba való bejutás szabályozása. A központi berendezések, valamint olyan rendszerkomponensek különleges védelme, mint például az átviteli berendezések. A rendszerüzem védelme klímaberendezésekkel az extrém hımérsékletektıl és a meg nem engedett levegı nedvességtartalomtól, az elektromágneses impulzusok általi behatásoktól, külsı tényezıktıl (tőz, víz, vihar és így tovább) például tőzjelzı berendezések és automatikus oltóberendezések által, szándékos behatásoktól (támadás, betörés stb.) például páncélüveggel és üvegtörés-jelzıvel, az

áramellátás

területén

a

villámcsapástól,

túlfeszültségektıl

és

a

feszültségesésektıl, az ellátórendszerek kiesésétıl, például veszélyhelyzeti áramellátással, az elektrosztatikus kisülésektıl azon termek megfelelı kialakításával, amelyekbe az informatikai rendszereket telepítették. Magyar Informatikai Biztonság Irányítási Követelményrendszer

297

Az informatikai biztonság irányításának vizsgálata A szükséges fizikai üzemi körülmények figyelemmel kísérése (hımérsékletek, levegı nedvességtartalma stb.); a toleranciaszintek túllépése esetén regisztrálás. A szükséges ellátó berendezések mőködıképességének figyelemmel kísérése (áramellátás, klímaberendezések stb.). Az informatikai rendszerek, a komponensek és az adathordozók védelme lopástól és manipulációtól (például zárható tartók és helyiségek révén).

A szervezet területén: Az informatikai feladatok megoldásáért viselt felelısség alapvetı rögzítése minden egyes szervezeti egységben és minden területen. Az egyes feladatkörök elhatárolása és a kölcsönhatások szabályainak rögzítése. Konzultációs partner kijelölése a biztonságot érintı események elıfordulásának esetére. Az információk osztályozása és az informatikai rendszerek kategorizálása. A különbözı jelentıségő informatika-alkalmazásoknak lehetıleg elkülönített informatikai rendszereken történı megvalósítása. Rendszer- és alkalmazásspecifikus szabályozások rögzítése (például biztonsági kézikönyv minden egyes informatikai rendszerre és minden alkalmazásra nézve). Valamennyi informatika-alkalmazás dokumentálása, beleértve az üzemi és kezelési utasításokat, valamint a biztonsági követelményeket és utasításokat. Az

informatikai

biztonsági

koncepció

és

a

realizált

biztonsági

intézkedések

dokumentálása. A kivételes szabályozások dokumentálása. A biztonsági intézkedések betartásának és hatásosságának rendszeres felülvizsgálata. A felülvizsgálatok dokumentálása. A dokumentum-megırzési határidık rögzítése. A felismert gyenge pontok megszüntetése. A fellépı káresemények elemzése. A biztonsági intézkedések új helyzethez igazítása (például a feladatkörök változása, kivételes helyzetek, káresemények, rendszerváltozások stb. nyomán). 298


Az informatikai biztonság irányításának vizsgálata A személyzethez szóló szabályozás az üzemeltetési rendfenntartása érdekében. A hardverek és szoftverek ellenırzött (lehetıség szerint központi) beszerzése. A szoftverek beszerzése csak megbízható forrásból. A hardver- és szoftverállomány központi feltérképezése. A hardver és szoftver bevezetése csak felszabadításuk után. Lehetıség szerint standardizált hardverek és szoftverek bevezetése. A programok bevezetésének, fejlesztésének, illetve gondozásának alapvetı szétválasztása. Különösen kritikus mőveletek végzése csak egy további személy általi jóváhagyást követıen történhet („négy szem” elv). Privát adathordozók, hardverek és szoftverek munkahelyi használatának tiltása. A szolgálati hardverek és szoftverek, valamint a szolgálati adathordozók privát használatának kerülése. Idegen informatikai rendszerek használatának szabályozása. Az informatikai rendszerek kívülállók általi használatának szabályozása. Az üzemi eszközöknek az elıállító utasításai szerinti használata és tárolása. A rendszer-konfiguráció dokumentálása és a változásokat illetı rendszeres felülvizsgálata. A hardver és szoftver komponensek rendszeres gondozása. A gondozásnak rendszerint helyben kell történnie, vállalkozások, vállalatok általi külsı gondozás csak saját munkatársak ellenırzése mellett engedhetı meg. A bizalmas adatok védelme (például biztosítás és törlés révén) a rendszer gondozása elıtt. Megbeszélések vagy egyezmények az elıállítóval, illetve a gondozást vállaló cégekkel, a gondozásra, a javításra, a pótlásra és az új beszerzésekre vonatkozóan. A szoftverek beszerzési irányelveinek elkészítése. A szoftverek ellenırzési irányelveinek elkészítése (például kódolás-ellenırzés, funkcióteszt a mőködıképesség vizsgálatára). A szoftverek tesztelése kizárólag tesztadatokkal és a valós kiépítési környezettıl távol. A szoftverfejlesztés és karbantartás irányelveinek elkészítése.


299

Az informatikai biztonság irányításának vizsgálata Segítség készenlétbe helyezése nemkívánatos mellékhatású programok, például vírusok, férgek (worm), trójai falovak megjelenésének esetére. Az elsı bevezetés és a szoftver változásai esetén referenciamásolatok készítése. Minden új bevezetéső vagy változott szoftver dokumentálása. A rendszerfájlok védelme. Ellenırzendı, hogy valamely alkalmazói szoftver a rendszerszoftverbe beépített biztonsági funkciókat megkerüli, vagy hatályon kívül helyezi-e. A személyzet területén: A biztonságigényes tevékenységet kifejtı személyek gondos kiválasztása. A személyzet képzése az informatikai rendszer bevezetése elıtt. A képzés kiterjesztése az informatikai biztonságra is. Érzékenységelemzés és tanácsadás az informatikai biztonság ügyeiben. A személyzet felvilágosítása a figyelembe veendı biztonsági elıírásokról.

Az informatikai rendszer intézkedési szempontjai Általában: Annak biztosítása, hogy csak feljogosított személyek és csak feladatteljesítésük keretei közt juthassanak be az informatikai rendszerekbe. Azon személyek és folyamatok, valamint rendszerelemek kijelölése, amelyek esetében az azonosítás és/vagy a hitelesítés is szükséges. Az azonosítás és a hitelesítés feltételeinek és formájának rögzítése. (Az azonosítás és a hitelesítés meg kell, hogy elızze az informatikai rendszernek a felhasználóval kapcsolatos valamennyi más interakcióját). A bejutási jogosultságok állandó aktualizálása. Az azonosított felhasználó egyértelmő hozzárendelése egy személyhez (azaz: nem létezhet több személy azonos, közös jelöléssel). A jelszavak kezelésének szabályozása, egyebek között titokban tartásukat, minimális hosszukat, komplexitásukat, behatárolt érvényességüket illetıen. Más hitelesítési eszközök kezelésének szabályozása, mint például az azonossági kártyáké 300


Az informatikai biztonság irányításának vizsgálata és chipkártyáké a jogosulatlan továbbadástól és a helytelen használattól való védelem érdekében. Az eredménytelen azonosítás és az hitelesítés esetére szükséges akciók rögzítése. Azon szubjektumok, illetve szubjektum csoportok, továbbá rendszerelemek, illetve elemcsoportok rögzítése (például adatok, szoftverek), amelyek esetében a hozzáférés ellenırzésére igény van. A hozzáférési jogok odaítélése, változtatása vagy megvonása csak a feljogosított és azonosított személyek által lehetséges és dokumentálandó. A hozzáférési jogok odaítélésének a feladatteljesítés követelményeihez kell igazodnia. Biztosítani kell a hozzáférési jogok felülvizsgálatát A hozzáférési jogok továbbadásának ellenırzése (jegyzıkönyvezés) révén, A hozzáférési jogok módosítása vagy zárolása a feladatkör változása, vagy valamely jogosult kiesése stb. esetén. A jogosulatlan hozzáférési kísérletek esetére vonatkozó akciók rögzítése. Jegyzıkönyvezendı, hogy az informatikai bevezetési, kiépítési munkafolyamatok ellenırizhetı módon legyenek kialakítva és a jogtalan akciók bizonyíthatóak legyenek. Rögzíteni szükséges, hogy normális esetben és kivételes helyzetekben mely eseményeket kell jegyzıkönyvezni (például a rendszerhez való hozzáférés, adatállományokhoz való hozzájutás, programlehívások, eredménytelen kísérletek). A jogok elosztásának, változtatásának és megvonásának jegyzıkönyvezése. A jegyzıkönyvi információkhoz való hozzájutás csak hitelesített felhasználók által (például a kinyomtatás lehetıségének és a jegyzıkönyvi lenyomatok tudomásra jutásának korlátozása). A jegyzıkönyvi- és naplóbejegyzések világos felépítése és teljes körő leírása. A kiértékelési eljárás dokumentálása. A kiértékelés automatizált támogatása. Rendszeres kiértékelés a biztonsági szempontból releváns, lehetséges eseményeket illetıen. A naplók, jegyzıkönyvek megırzési határidıinek rögzítése. Magyar Informatikai Biztonság Irányítási Követelményrendszer

301

Az informatikai biztonság irányításának vizsgálata A naplózó berendezések védelme manipulációk ellen. Megfelelı ellenintézkedésekkel történı reagálás a hibás vagy sikertelen kísérletekre.

Az információk területén: Bevitelnél A beviteli funkciókhoz történı hozzáférések ellenırzése. A beviteli jogosultságok és a bevitelt lehetıvé tevı készülékek meghatározása. A beviteli jogosultságok ellenırzése. Annak naplózása, hogy mely adatokat, mikor és ki adott be az informatikai rendszerbe. A feltáró programok korrektségének ellenırzése (minıségbiztosítás). Programdokumentáció. Elfogadhatósági ellenırzések végrehajtása. Eljárás a hibák felismerésére és korrigálására. A beadott adatok formai ellenırzése. A beviteli nyomtatványok, illetve adatok védelme a jogosulatlanok tudomására jutástól. A beviendı adatokat tartalmazó nyomtatványok biztonságos tárolása a munkahely elhagyásakor. Az üzemi helyiségek bezárása használaton kívül. Az ajtókulcsok biztonságos kezelése (például személyes ırzésben vagy egy kulcsok számára rendszeresített páncélszekrényben). A káros hatású elektromágneses sugárzások hatásainak csökkentése vagy megszüntetése a szenzitív adatok bevitele során (például sugárzásszegény készülékek révén, vagy ellenırzött zónákban való felállítással). Tárolásnál A tárolóeszközökön lévı programok és adatállományok rendszeres állományfelvétele (a bejegyzések ellenırzése). Azon adatállományok és programok rögzítése, amelyeket nem lehet megváltoztatni, s lehetıség szerint védelmük a tárolóeszközön kialakítható fizikai írásvédelemmel (például kapcsoló a merevlemeznél, írásvédelmi rovátka, vagy írásvédelmi lyuk a 302


Az informatikai biztonság irányításának vizsgálata hajlékonylemezeknél). Az érzékeny adatok védelme az adathordozókon kódolt tárolással, amennyiben az adathordozók nem különlegesen védettek. Feldolgozásnál A "feldolgozás" funkció bevonása a hozzáférésellenırzési intézkedések körébe A feldolgozási jogosultság rögzítése. A feldolgozási jogosultság ellenırzése. Annak naplózása, hogy mely információkat, mely idıben ki dolgozott fel. A feldolgozás irányelveinek kialakítása. A hibás viselkedés, vagy a hibák hatásainak lehetıség szerinti korlátozása. A rendszer- és alkalmazói szoftverek funkcióinak korlátozása minden egyes felhasználó számára csak a feladata teljesítéséhez szükséges mértékre. Az információk ne legyenek láthatóak a képernyın a munkahely elhagyása, vagy látogatók jelenléte esetén. (Például a képernyı elsötétítése, sötétre kapcsolása útján oldható meg.) A sértetlenség biztosítása olyan intézkedések által, mint pl. ellenırzı összeg képzése, elektronikus aláírás vagy elektronikus pecsét. A tárolókon lévı, a továbbiakban nem szükséges adatok fizikai törlése (az adatterület átírása valamely törlımintával). Adatállomány-másolatok készítése csak a feladatkör ellátásához szükséges célokra és az elvárt adatbiztonsági szint keretei között. Másolásvédelmi intézkedések bevezetése. Átvitelnél A hálózati kapcsolódásoknak a legszükségesebb számúra csökkentése. A hálózati csatlakozások számának behatárolása, amelyek lehetıleg minél inkább saját ellenırzés alatt álljanak. (Például hálózati forgalmazás csak saját közremőködés esetén, visszahívó automatika, hálózati kapcsoló, önálló vezeték.) A jogosultak körének és az átadható adatok mennyiségének a szükségesre korlátozása. A telefonszámokat a tárcsázási csatlakozópontoknál titokban kell tartani. Magyar Informatikai Biztonság Irányítási Követelményrendszer

303

Az informatikai biztonság irányításának vizsgálata Az átvitel funkció bevonása a hozzájutási ellenırzési intézkedések körébe. Az adó és a fogadó azonosítása és hitelesítése (jelszó, visszahívás általi ellenırzés). Az átviteli jogok rögzítése. Az adatátviteli jogosultságok ellenırzése. Az átvitel ellenırzése és jegyzıkönyvezése. A fogadók, az adók és az átviteli utak rögzítése. A hálózatba való logikai és fizikai bejutás korlátozása. A kezelési funkciók behatárolása a hitelesített személyekre. A hálózati központi számítógépek biztosított helyiségekben történı elhelyezése. Elıvigyázatossági intézkedések a hálózat egyes komponenseinek kiesése esetére. Az adatok lehetıség szerinti kódolása, a bizalmasság és a sértetlenség megırzése érdekében. (A bizalmasság érdekében a nem általánosan hozzáférhetı átviteli utakon való továbbítás esetén is lehetségesek az biztonságos csatornához hasonló, azzal egyenértékő intézkedések. A sértetlenségre vonatkozóan pótlólagosan bevezethetık a sértetetlenség elvesztése ellen ható olyan eljárások, mint a hibafelismerés és hibajavítás, idırögzítés/pecsételés, ellenırzı összegek.) A titkos kulcsokat tartalmazó adathordozók biztonságos kezelése, tárolása, alkalmazása és szétosztása. Az adathordozók szállításánál szükségesekhez (11.2.9 fejezet) hasonló, azokkal egyenértékő intézkedések az adatok hálózatokon keresztül továbbítása esetén. Kiadásnál A kiadás funkció bevonása a hozzáférési ellenırzésre irányuló intézkedések körébe. A kiadási jogosultságok és a kiadókészülékek rögzítése. A kiadási jogosultságok ellenırzése. Annak naplózása, hogy mely információkat, mely idıpontban és ki, mely kiadókészüléken keresztül adott ki. A végberendezések (például nyomtatók, képernyı) védelme, hogy a kiadott adatokat jogosulatlanok ne tekinthessék meg,.

304


Az informatikai biztonság irányításának vizsgálata A naplók biztonságos tárolása a munkahely elhagyása esetén. Nem használt állapotban az üzemi helyiségek lezárása. Az ajtókulcsok biztonságos kezelése (például személyes ırzésben, vagy a kulcsok számára rendszeresített páncélszekrényben). A káros hatású elektromágneses sugárzások hatásainak csökkentése vagy megszüntetése az érzékeny adatok bevitele során (például sugárzásszegény készülékek révén vagy ellenırzött zónákban való felállítással). A naplóknak az adathordozókról szóló részben foglalt utasításoknak megfelelı kezelése, tárolása, továbbadása illetve megsemmisítése. Az adathordozók területén: Kezelésnél, tárolásnál Az adathordozók kiadásának és bevételének szabályozása. Az adathordozók központi vagy decentralizált kezelésének és adminisztrációjának szabályozása (papír és gépi adathordozókra egyaránt). Dokumentációs és ellenırzési elıírások. A tárolásért és adminisztrációért felelıs személyek és feladataik rögzítése. Valamennyi adathordozó és adat jelölése. A védelemigényes adathordozók és adatok regisztrálása, a védelemigényes adathordozók és adatok ellenırzött kiadása, az adatok védelme a jogosulatlanok tudomására jutástól, a védelemigényes adathordozók és adatok védelme lopás és katasztrófák ellen (speciális helyiségekkel és tárolókkal az aktuális üzemi és alkalmazói szoftverek, adatok és a biztonsági információk esetében). Különleges védelmi igény esetén az adatok kódolt tárolása. Nem használt állapotban a tárolóhelyiségek lezárása. Az ajtókulcsok biztonságos kezelése. Elıvigyázatossági

intézkedés

az

adathordozók

elöregedése

esetére

a

tartalom

átmásolásával.


305

Az informatikai biztonság irányításának vizsgálata A tároló-helyiségek klímaértékeinek ellenırzése. Szúrópróbaszerő állományellenırzések. Továbbadásnál, szállításnál Az adathordozók továbbadási szabályainak rögzítése a papír és a gépi (különös tekintettel a dokumentációs és ellenırzési adatokat tartalmazó) adathordozókra. Az idegen adathordozók átvételi szabályainak rögzítése. Az adathordozók elıkészítése továbbításra, mielıtt a saját felelısségi területüket elhagyják, annak biztosítása érdekében, hogy csak szándékolt információk juthassanak ki (fizikai törlés, újraírás). A fogadásra/átvételre jogosult személyek és jogaik rögzítése. Az átvételi jogosultság ellenırzése a kiadás elıtt. A kiadott adathordozók és adatok, valamint visszaadásuk nyilvántartása. Szállítás postai továbbítás esetén csak zárt küldeményként, kisegítı személyzet és küldöncök alkalmazása esetén a zárt állapotú továbbítás feltételeinek megteremtése. Lehetıség szerint írásbeli átvétel-megerısítés. A csomagolás sértetlenségének ellenırzése a fogadónál. A küldı haladéktalan értesítése felfedezett manipuláció vagy gyanús események esetén. Az esetleges kár megállapítása; intézkedések a kár csökkentésére. A különös védelmi igényő adatok rejtjelezése, az azokat tartalmazó adathordozók szállítása vagy elküldése esetén. Megsemmisítésnél A megsemmisítési jogosultság, a megsemmisítési eljárás rögzítése és az erre felhatalmazott személy kijelölése. Zárt tárolók vagy helyiségek a megsemmisítendı adathordozók és adatok győjtésére. Felügyelt megsemmisítés (például az ún. „négy szem” elv révén), amely történhet a már nem használandó gépi adathordozók mágneses törlésével, illetve a papír- és filmadathordozók mechanikus feldarabolásával úgy, hogy a tartalom ne legyen felismerhetı és ne is legyen mód ismét felismerhetıvé tételére. A közbensı anyagok (például magnókazetták, egyszer használatos festékszalagok, hibás 306


Az informatikai biztonság irányításának vizsgálata lenyomatok) ezzel egyenértékő kezelése. A regisztrált adathordozók és adatok megsemmisítésének írásbeli bizonyítása. A szükséghelyzet-megelızés intézkedési szempontjai Az adatmentés területén: Az

adatmentési

intézkedések

megvalósítási

szabályainak

összeállítása

(például

háromgenerációs elv). Az üzemi szempontból szükséges adatok biztonsági kópiáinak elkészítése rögzített idıszakonként. A biztonsági másolatoknak biztos helyen, a munkaterületen, illetve a számítóközponton kívüli raktározása. Az

installált

rendszerszoftverek

és

a

fontosabb

alkalmazói

szoftverek

referenciamásolatainak biztonságos raktározása. A fontosabb dokumentációk megkettızése és raktározása. A megvalósított adatbiztosítás ellenırizhetı dokumentációja. Az üzletmenet-folytonosság biztosítása területén: A szükséges hardver és szoftver konfiguráció rögzítése, beleértve az adatokat is, szükségüzem esetére. Amennyiben lehetséges, a szükségüzem esetére manuális póteljárás rögzítése. Szükség esetén tartalékrendszer (például saját vagy külsı tartalék központ) biztosítása. Adatvisszaállítási eljárások bevezetése. Újraindulást lehetıvé tevı intézkedések. Az olyan informatikai rendszerek védelme, amelyeknek állandóan elérhetıeknek kell lenniük (például túlbiztosítást (redundanciát) nyújtó eszközökkel, intézkedésekkel és a hibákat toleráló hardverekkel és szoftverekkel). A szükséghelyzetben követendı eljárások összefoglalása egy tervben (szükséghelyzeti kézikönyv). A szükséghelyzeti terv rendszeres ellenırzése és a megváltozott körülményekhez való hozzáigazítása.


307

Az informatikai biztonság irányításának vizsgálata Rendszeres szükséghelyzeti gyakorlatok. Informatikai biztonsági intézkedések A

biztonsági

intézkedések

listájában

elemcsoportonként

utalunk

azokra

a

fenyegetésekre, amelyek ellen az intézkedéseknek hatniuk kell. Az intézkedések a kárnagyságot vagy a kárgyakoriságot csökkenthetik. Az intézkedések alapvetıen az informatikai rendszerelemek biztonsági jellemzıinek javítására irányulnak, de hatásuk az informatikai rendszer környezeti kapcsolódásai miatt szélesebb területre kell, hogy kiterjedjen. Elsısorban a szervezet mőködési jellemzıinek, a szervezet strukturális felépítésének, az ügyintézési szabályoknak és további tényezıkneka figyelembe vételével alakulnak ki az intézkedések konkrét megjelenési formái. Így a 11. ábra szerinti általános beágyazódást feltételezve, az informatikai rendszerelemek szerinti csoportosítás mellett még egy általános csoportot is képezünk olyan intézkedésekbıl, amelyek többirányú fenyegetı tényezık ellen hatnak. A szükséghelyzet- (katasztrófa-) megelızés és az adatmentés területére irányuló intézkedéseket, azok speciális volta miatt az itt következı listák csak érintılegesen tartalmazzák. Ilyen esetekre vonatkozóan javasoljuk, hogy tanulmányozza a szakirodalmat, informálódjon, vagy kérje ki szakemberek véleményét. Az intézkedések konkrét megfogalmazása minden szervezet saját feladata. Az itt közölt megfogalmazások többnyire csak olyan általános utalásokként szerepelnek, hogy a különbözı területekre irányuló kiterjesztéseik, alkalmazásaik lehetségesek legyenek. Végig kell tehát gondolni, hogy milyen intézkedések jöhetnek még számításba a felsoroltakon kívül. Általános jellegő biztonsági intézkedések Belépés, benntartózkodás: (I1)

Az üzem területére való belépés (személyek és jármővek) ellenırzése, például bekerítés és ırzött bejáratok révén.

(I2)

Az épületekbe és a helyiségekbe való belépés ellenırzése, például portások vagy technikai berendezések révén (kulcsok, igazolványolvasók stb.)

(I3)

A belépés jegyzıkönyvezése, például számítógép-vezérelt ellenırzı rendszerekkel.

(I4)

Az üzemen kívüli személyek tartózkodásának figyelemmel kísérése (állandó kíséret vagy regisztrálás révén).

(I5)

A bejutást biztosító fizikai azonosítási eszközök (például kulcsok és chipkártyák) kiadása, regisztrálása és visszavétele.

308


Az informatikai biztonság irányításának vizsgálata (I6)

A bejutást biztosító jelszavak kiválasztásának és kezelésének szabályozása (ne lehessen a saját név variációja, a szótárból vett szó, személyes adat stb.).

(I7)

Központi felhasználó-adminisztráció (például a felhasználó felismerésének hiánya jelszó nélkül, kikényszerített jelszó-váltás, a távozó munkatársak jogosultságainak törlése vagy zárolása stb.).

(I8)

A kritikus (nem, vagy nehezen ellenırizhetı) cselekvési területek azonosítása (például laptopok, túlórák, otthoni munka, rendszeradminisztráció / igazgatás).

(I9)

A kriptográfiai kulcsok kezelése és elosztása.

(I10) Szoftvermechanizmusok bevezetése a bejutást biztosító jelszavak kezelésének, minıségének, érvényességének ellenırzésére. (I11) Hitelesítési eljárások alkalmazása (például chipkártyák, biometrikus eljárások). (I12) Bejelentkezés lehetıségének zárolása hibás kísérletek után. Jogosultságok és szerepek: (I13) A védelemigényes

helyiségekbe vagy zónákba való

belépési

jogosultságok

szabályozása. (I14) A személyek és személyek csoportjai hozzárendelése a helyiségekhez az informatikai rendszerben vagy környezetében betöltött szerepük alapján. (I15) A belépésre jogosító segédeszközök kiadása és visszavétele (például kulcsok, igazolványok, kódszámok). (I16) Az adatokhoz, alkalmazói programokhoz, rendszerprogramokhoz való hozzáférés jogának (olvasás, írás, kifejtés) hozzárendelése azokhoz a személyekhez és a személycsoportokhoz, akiket szerepük erre predesztinál. (I17) A hálózatba való bejutási jogok odaítélése, felépítése, figyelemmel kísérése és jegyzıkönyvezése (szervezési, informatikai intézkedések). (I18) A jogok továbbadásának szabályozása és korlátozása. (I19) A jogosultsági struktúra periodikus, szúrópróbaszerő, vagy alkalomhoz kötıdı átvizsgálása (például megváltozott feladatmegosztás esetén). (I20) A végrehajtó/megvalósító és ellenırzı funkciók személyi szétválasztása. (I21) Az ellenırzı funkciók explicit definiálása (hatókör, eszköz, alkalom stb.). (I22) A végrehajtási/megvalósítási funkciók strukturálása: −

funkcionális szétválasztás (a részfeladatokat különbözı személyek végezzék) az operációnál, a rendszerkezelésnél, az adatfeldolgozás ellenırzésénél

−

„négy szem” elv (a kritikus feladatokat két személy oldja meg)


309

Az informatikai biztonság irányításának vizsgálata − (I23) A

minimálisan szükséges jogok megadása védelmi

eszközökhöz

kapcsolódó

menedzsment

feladatok

meghatározása,

végrehajtása és ellenırzése, pl. intézkedések a rejtjelezés kulcsainak igazgatására, kezelésére, adminisztrációjára (elıállítás, átadás, csere, titoktartás). Üzemvitel: (I24) A védelmi berendezések funkcióképességének biztosítása rendszeres ellenırzéssel, karbantartással, nem rendszeres ellenırzéssel, a jegyzıkönyvek kiértékelésével stb. (I25) Az adatátviteli rendszer szolgáltatásbiztonsági követelményeinek meghatározása, a megfelelı rendszer kiválasztása az X.800 biztonsági funkciók figyelembevételével. (I26) Eljárás elıírása katasztrófák esetére (például azonnali intézkedések, riadótervek). (I27) Belsı vagy külsı háttér-, illetve tartalékkapacitás elıkészítése szükségüzem esetére a szükséges hardver és szoftver konfiguráció rögzítésével. (I28) Szükség esetén katasztrófa helyzetben is biztosítani kell a rendelkezésre állást (például szerzıdésekkel, együttmőködési megállapodásokkal). (I29) Az informatikai alkalmazások prioritásainak kijelölése és a célkitőzések megállapítása (például az X alkalmazás újraindítása Y napon belül). Ügyintézés, adminisztráció: (I30) A rendszer eseményeinek naplózása (például hardverhibák vagy automatikus újraindítás bekövetkezte). (I31) A felhasználói tevékenységek naplózása (például bejelentkezési idı, eszközök használata, fájlokhoz való hozzáférés, adatátvitel). (I32) A biztonsági szempontból releváns különleges események naplózása (például hamis jelszóval való bejutási kísérletek, jogosulatlan hozzáférési kísérletek). (I33) A biztonsági szempontból releváns programtevékenység figyelemmel kísérése, jelentése vagy félbeszakítása (szintén naplózás). (I34) A jegyzıkönyvi adatok program által támogatott elemzése. (I35) A jegyzıkönyvi adatok archiválása (manuálisan, gépileg). (I36) A jegyzıkönyvi adatok védelme illetéktelen hozzájutástól, utólagos módosítástól. (I37) A maradványkockázatok lefedése biztosítási szerzıdésekkel (anyagi ellentételezésre vonatkozó szerzıdések biztosító intézetekkel). (I38) A biztonsági intézkedések betartásának ellenırzési rendszere, kötelezı reakciók elıírása a szabályok megsértése esetén. 310


Az informatikai biztonság irányításának vizsgálata Ebben a csoportban felsorolt intézkedések a következı fenyegetı tényezık hatását mérséklik: (F1)-(F11), (F14)-(F25), (F27), (F28) - a környezeti infrastruktúra területén, (F46), (F47)

- a hardver területén,

(F53), (F67)-(F70)

- az adathordozók területén,

(F80)-(F82), (F84)

- a dokumentumok területén,

(F88), (F89), (F91), (F92), (F101) - a szoftver területén, (F109), (F112)

- az adatok területén,

(F148)

- a személyek csoportjában.


311

Az informatikai biztonság irányításának vizsgálata Biztonsági intézkedések a környezeti infrastruktúra védelmében Tőzvédelem (I39) A tüzek keletkezésének megakadályozása (például a dohányzás tilalmával, a szabványnak megfelelı elektromos szereléssel). (I40) A tüzek kiterjedésének gátlása (például tőzbiztos válaszfalakkal, ajtókkal, nehezen éghetı belsı borításokkal). (I41) Tőzjelzés (például automatikus szenzorokkal vagy kézi tőzjelzıvel). (I42) Tőzoltás (például automatikus elárasztókkal, kézioltókkal). (I43) A számítógéptermek illetve helyiségek tőzvédelmi kialakítása. Villámvédelem (I44) Az épületé villámhárítóval. (I45) Az informatikai készülékeké az indukált túlfeszültségekkel szemben (például a készülékek leválasztása az elektromos hálózatról, az adathálózat szakaszolása galvanikusan elkülönített részhálózatokká). Vízvédelem (I46) Passzív intézkedésekkel (például a helyiségek kijelölése a pinceszint fölött). (I47) Aktív intézkedésekkel (például vízlevezetık, szivattyúk). Az áramellátás védelme (I48) Rövid ideig tartó feszültségcsökkenések kiküszöbölése (például szünetmentes áramellátást biztosító készülékek, akkumulátorok alkalmazásával vagy redundanciával a készülékeknél és vezetékeknél). (I49) Feszültségkiesés áthidalása (például szükségáramot biztosító aggregátorral). A klímaellátás biztosítása (I50) Automatikus szabályozó berendezésekkel optikai vagy akusztikus kijelzéssel a toleranciaszintek túllépése esetén. (I51) A szellızınyílások karbantartásával. Védelem a befolyásolhatatlan külsı tényezık ellen (I52) Telephely tervezés (például ne a berepülési útvonalba helyezzük). (I53) Erısítı intézkedések (például az épület konstrukciójánál). Védelem külsı (pl.: terror) támadások ellen 312


Az informatikai biztonság irányításának vizsgálata (I54) Telephely-/helyiségtervezés (például a számítóközpont ne legyen a nyílt utcán, a földszintje ne legyen kívülrıl belátható). (I55) Az elhelyezésre utaló nyílt útmutatások elkerülése (például ne legyen útjelzı a számítóközponthoz, ne legyenek cégjelzések, jelzıtáblák az épületek és a helyiségek bejáratánál). Betörésvédelem (I56) Megelızı intézkedések (például rácsos ablakok, az áttörést nehezítı üvegezés, acélajtók, speciális zárak). (I57) Behatolás-érzékelık felszerelése. Sugárzásvédelem (I58) A teremsugárzás megakadályozása teljes leárnyékolással (például Faraday-kalitkával elvben egyenértékő helyiség kialakításával, a vezetékek vascsövekben történı elhelyezésével, optikai kábelek alkalmazásával). (I59) A teremsugárzás kivédése részleges leárnyékolással (például kabinok vagy házak, tárolók az egyes készülékek számára, kisugárzásvédett képernyık alkalmazása, elhelyezés ellenırzött biztonsági zónákban). (I60) Fémvezetékek rácsatlakozás elleni védelme (szőrı az áramvezetékekben, szőrı az átviteli vezetékekben, galvanikus megszakítás a főtı- és vízvezeték-csövekben stb.) (I61) Védekezések

a

zavaró

besugárzások

ellen

(Faraday

kalitkával,

galvanikus

leválasztásokkal, optikai kábel összeköttetésekkel Ebben a csoportban felsorolt intézkedések a következı fenyegetı tényezık hatását mérséklik: (F1)-(F4), (F6), (F11), (F12), (F27), (F28) - a környezeti infrastruktúra területén, (F32), (F33), (F35), (F51)


(F53), (F55), (F58)


(F123), (F127)

- a kommunikáció területén.

Biztonsági intézkedések a hardver védelmében (I62) Megállapodás a hardver-szállítókkal a garantált javítási, illetve cserélési feltételekrıl és határidıkrıl. (I63) Az informatikai eszközök koncentrált elhelyezése révén a belépés ellenırzésének megkönnyítése (például valamennyi eszköz egy biztonságos, feltétlenül kulccsal zárható helyiségben). (I64) Csak centralizált beviteli/kiviteli eszközök alkalmazása a külsı adathordozók számára. Magyar Informatikai Biztonság Irányítási Követelményrendszer

313

Az informatikai biztonság irányításának vizsgálata (I65) Rendszeres megelızı karbantartás. (I66) A különösen érzékeny komponensek megelızı cseréje. (I67) Elzárkózás a legújabb, még nem kipróbált termékektıl. (I68) Redundáns, hibatőrı konfigurációk. (I69) Pótalkatrészek készletezése. (I70) Az ergonómiai szempontok figyelembevétele a hardverválasztásnál és -kiépítésnél (pl. a képernyı villódzása, zaj, stb.). (I71) Manipulációbiztos készülékek beszerzése (pl. olyanoké, amelyek zárható házban kerülnek forgalomba). (I72) A készülékek rendszeres felügyelete biztonsági szempontokból. (I73) A hardver környezeti feltételeinek ellenırzése. (I74) A számítógépekbe és a hálózatba való bejutás módozatainak szabályozása. (I75) A hardver eszközök, illetve szolgáltatásaik igénybevétele csak a felhasználó azonosítását és hitelesítését követıen legyen lehetséges. (I76) Hosszabb inaktivitás esetén kényszerített kijelentkezés vagy a berendezés "blokkolása" (például képernyızárolás). (I77) A fejlesztı és a végrehajtó számítógépek szigorú elhatárolása (felhasználói gépen nem folyhat szoftverfejlesztés). (I78) Katasztrófa-megelızés, illetve az üzletmenet-folytonosság bíztosításának érdekében alternatív cselekvési forgatókönyvek összeállítása a különbözı típusú, kiterjedéső és tartalmú kiesésekre nézve (például egyes készülékek vagy a számítóközpont teljes szétrombolása, roncsolódása). (I79) Az alkalmazott rendszer valamennyi készülékérıl, azok mőszaki állapotváltozásairól és konfigurálásáról folyamatos nyilvántartás (mőszaki törzslap) vezetése.

Ebben a csoportban felsorolt intézkedések a következı fenyegetı tényezık hatását mérséklik: (F1)-(F13), (F26)-(F28)

- a környezeti infrastruktúra területén,

(F28)-(F36), (F44)-(F47), (F50)


(F54)-(F58)


(F88), (F89), (F95) (F98)

- a szoftver területén,

(F102), (F109)


(F114), (F115) (F119) (F122)


314


Az informatikai biztonság irányításának vizsgálata Biztonsági intézkedések az adathordozók védelmében (I80) Adathordozó-adminisztráció kialakítása (beszerzés, gazdálkodás, készlet- és használat nyilvántartás, selejtezési eljárás, az utánpótlás megszervezése stb.) (I81) Külön, belépés-ellenırzéssel ellátott adathordozó tároló helyiség kialakítása. (I82) A környezeti körülmények ellenırzése (hımérséklet, nedvességtartalom stb.). (I83) Megelızı intézkedés az elöregedés és a már nem támogatott formátumok vonatkozásában (átmásolás). (I84) Törlés a felszabadítás, kiselejtezés elıtt. (I85) Katasztrófa-megelızés céljából a másodpéldányok kiemelten biztonságos (más telephelyen történı) raktározása. (I86) A beszerzett adathordozók ellenırzése az alkalmazásra való felszabadításuk elıtt. (I87) Elıírások az adathordozók felhasználói számára (védelem rongálódás ellen, külsı jelölés, védelem jogosulatlan használattól stb.). (I88) Az elıállított adathordozók ellenırzése (újraolvashatóság). (I89) Az adathordozók tartalmának védelme (kódolás, rejtjelezés, olyan jelölés, amely nem tartalmaz közvetlen utalást a tartalomra, kódoló, dekódoló eszközök használata stb.). (I90) Privát adathordozók szolgálati célokra vagy fordítva történı igénybevételének tilalma. (I91) A kölcsönzés, a regisztrálás, a visszaadás eljárása. (I92) Az adathordozók ellenırzött kiselejtezése. Ebben a csoportban felsorolt intézkedések a következı fenyegetı tényezık hatását mérséklik: (F1)-(F13), (F26)-(F28)


(F28)-(F36), (F44)-(F47), (F50)


(F54)-(F58)


(F88), (F89), (F95) (F98)


(F102), (F109)

- az adatok területén.

Biztonsági intézkedések a dokumentumok védelmében (I93) A

hardver

és

szoftver

dokumentációk,

kezelıi

utasítások

beszerzésének,

aktualizálásának, tárolásának, rendelkezésre állásának szabályozása. (I94) A szükséges dokumentációk, szoftverek és hardverek nyilvántartása valamennyi informatikai alkalmazás esetére (programok, adatállományok, pótlólagos szoftverek, beviteli és kiadási készülékek, tároló- és idıigény stb.). Magyar Informatikai Biztonság Irányítási Követelményrendszer

315

Az informatikai biztonság irányításának vizsgálata (I95) Biztonságspecifikus elıírások az üzemviteli naplók kiértékelésére és archiválására. (I96) Eljárás szabályozása az informatikai dokumentumok másolása, kölcsönzése esetére. (I97) A dokumentumok sértetlenségének biztosítása. (I98) A dokumentum selejtezési eljárása. Ebben a csoportban felsorolt intézkedések a következı fenyegetı tényezık hatását mérséklik: (F53), (F71)-(F84)


(F96), (F98)


(F142), (F144)-(F146)


Biztonsági intézkedések a szoftver védelmében (I99)

Elfogadható biztonsági osztályú rendszer kiválasztása, pl egy minısítı hatóság (esetleg a szállítótól bekért) minıségtanúsítványa alapján.

(I100) Új,

instabil

szoftver

verziók

bevezetésének

késleltetése

a

megfelelı

minıségellenırzési eredmények megszületéséig. (I101) Ismert hibájú szoftver használatának elkerülése, illetve - szükséghelyzetben gondosan ellenırzött használata. (I102) Az üzemi eszközhasználat vizsgálata az abnormitások vonatkozásában. (I103) A teljes szoftver sértetlenségének rendszeres ellenırzése. (I104) Szoftver minıségellenırzés különálló számítógépen lefuttatott teszt segítségével. (I105) A hardver és a szoftver funkcionális tesztprogramjainak rendszeres használata (például a fájlrendszer konzisztenciájának rendszeres ellenırzése). (I106) Felhasználóbarát kezelıi felületek bevezetése (pl. menüvezérlés, ablaktechnika). (I107) A rendszer- és alkalmazói programok sértetlenségének védelme helyi hálózatokban központi szerverrıl történı programindítás segítségével. (I108) Vírus ellenırzött programok használata. (I109) Idegen szoftverek ellenırizetlen bevitelének tilalma. (I110) Privát szoftverek szolgálati célokra, illetve a szolgálatiak privát célokra való alkalmazásának tilalma. (I111) A szoftver felszabadítása és elosztása kizárólag az erre a tevékenységre feljogosított személyek által az alkalmazás kontrollja és az eltulajdonítás megelızése érdekében. (I112) A bevezetett alkalmazásfüggetlen szoftverek és bizalmassági feltételeik (például verziók közötti kompatibilitás) kimutatása 316


Az informatikai biztonság irányításának vizsgálata operációs rendszerekre és rendszerközeli bıvítésekre (például ablakkezelı rendszerek), pótlólagos

szoftverekre

(például

adatbázisrendszerek,

szövegszerkesztık,

grafikus szoftverek), biztonsági célokra elkülönített szoftvercsomagok (például illegális bejutás ellenırzése, vírusfelismerés). (I113) A rendelkezésre álló alkalmazások funkcionalitásának behatárolása bizonyos felhasználók és hosszabb inaktivitás esetén felhasználócsoportok számára (például szövegszerkesztık vagy fordítóprogramok használatának tiltása, a rendszerprogramszint zárolása, a rendelkezésre álló parancsok körének szőkítése). (I114) Többszintő hozzáférési rendszer használata (például külön jogosultság az adatbázisrendszerben, levelezı rendszerben stb.). (I115) Rendszer-adatállományok és parancsok használatának korlátozása. (I116) A biztonsági vonatkozású adatállományok, rendszerprogramok helyességének és konzisztenciájának fenntartása, pl program által támogatott konzisztenciavizsgálat (I117) Utasítások kiadása a biztonsági (teszt) futtatások elvégzésére, jegyzıkönyvezésére és átvizsgálására, az újrafuttatási és rekonstrukciós eljárásokra, a szoftver sértetlenségének igazolására (pl. ellenırzı összegek segítségével), a szoftvert tartalmazó adathordozók jelölésére és gondozására. (I118) Az informatikai rendszer üzemeltetési elıírásai. (I119) Intézkedések a karbantartási munkálatok elıtti és utáni tevékenységekre (pl. az üzemi rendszer

betöltése

külsı

adathordozóról)

a

szoftver

sértetlenségének

és

bizalmasságának biztosítása érdekében. (I120) A felhasználói szoftverfejlesztés megakadályozása. (I121) A felhasználói és rendszerszoftverek törzspéldányainak biztonságát szolgáló tárolási, kezelési elıírások. Ebben a csoportban felsorolt intézkedések a következı fenyegetı tényezık hatását mérséklik: (F30)-(F43)


(F65)


(F53), (F85)-(F101)


(F103), (F106) (F107)

- az adatok területén.


317

Az informatikai biztonság irányításának vizsgálata Biztonsági intézkedések az adatok védelmében (122) Üzemviteli elıírások adatbiztosításra (mentés, helyreállítás, ırzési idıtartam stb.), elkülönített területek a látogatók forgalmára (adatbeviteli, kiadási mőveletek elkülönítése), adatterületek törlése az operatív tárban újrafelhasználás elıtt, adatállományok tárolása kódolással, ellenırzıösszeg alkalmazásával, digitális aláírással, redundáns tárolással (pl. lemeztükrözés) stb. (I123) Intézkedések karbantartási munkálatok elıtt és után a szoftver és az adatok sértetlenségének és bizalmasságának biztosítása érdekében (például a bizalmas adatállományok kódolása és törlése). (I124) Tranzakciókezelés alkalmazása pl. adatbázis-rendszereknél. (I125) Adatvesztés elleni biztosítás elosztott rendszerekben centralizált adattárolással, például fájl szerverrel helyi hálózatokban. (I126) Védelem hibás adatbevitel és adatváltoztatás ellen az alkalmazói programokban szereplı formátum-, valamint konzisztencia ellenırzésekkel. (I127) Manuális pótlások, esetleges szükségeljárások elıírásai. (I128) Hozzáférés-jogosultságok ellenırzése személyi hozzárendelések meghatározott (bizalmas) adatokkal végzendı input/output mőveletekhez, többlépcsıs ellenırzési lehetıségek kihasználására (pl. egy adatbázisba való bejutásnál), rejtjelezés alkalmazása az azonosítási, hitelesítési folyamatokban, korlátozó alapbeállítások ("default" értékek) a hozzáférési jogosultságok vonatkozásában (például újonnan készített adatállományok harmadik személyek általi használatánek tiltása). Ebben a csoportban felsorolt intézkedések a következı fenyegetı tényezık hatását mérséklik: (F14)-(F16), (F25)


(F82)


(F88)


(F105)-(F113)


(F143)


318


Az informatikai biztonság irányításának vizsgálata Biztonsági intézkedések a kommunikáció védelmében (I129) Az adatátviteli vezetékek és a kommunikációs kapcsolatok védelme észrevétlen bejutástól (például nehezen hozzáférhetı kábelcsatornák, ellenırizhetı nyíltszíni vezetések révén). (I130) Védelem egyes károk kihatásai ellen (tőz, víz) a kábelkoncentráció kerülésével, redundáns

irányokkal,

illetve

a

közüzemi

kommunikációs

kapcsolatok

redundanciájával (például több vonalcsatlakozással). (I131) A kommunikáló felek, valamint egy-egy üzenet küldıjének azonosítása és hitelesítése. (I132) Erıforrások hálózaton keresztül való hozzáférésének ellenırzése. (I133) Az adatforgalom jellemzıi, valamint az adattartalom, illetve részei bizalmasságának védelme. (I134) Üzenet, illetve üzenetfolyam sértetlenségének védelme. (I135) Az üzenet forrásának és az üzenet kézbesülésének bizonyítható igazolása. (I136) Rejtjelezés. (I137) Elektronikus aláírás. (I138) Hozzáférésvédelmi mechanizmusok. (I139) Adatsértetlenséget védı mechanizmusok. (I140) Hitelesítési információ cseréjét támogató mechanizmusok. (I141) Forgalom kitöltés. (I142) Útvonal-kiválasztás ellenırzése. (I143) Azonosítás, hitelesítés támogatása a külsı hozzáférési mechanizmussal (pl. modem visszahívás). (I144) Védelmi eljárások kommunikációs hálózatba való csatlakozásnál, például kapcsolatok korlátozása fix kapcsolatokra, kimenı hívásokra, bejövı hívásokra, idıintervallumra stb., zárt felhasználói csoportok bevezetése. (I145) Biztonsági szempontok figyelembevétele helyi hálózatokban a topológia (például győrő, busz, csillag), az átviteli eszközök (például rézkábel, koaxiális kábel, optikai kábel), valamint az eljárások kiválasztásánál (pl védelem új állomások észrevétlen csatlakozása, az átvitt adatok lehallgatása, stb. ellen). (I146) A hálózati rendszerszoftver védelme manipulációk ellen (például a központi szerverrıl történı töltéssel).


319

Az informatikai biztonság irányításának vizsgálata (I147) A helyi és külsı hálózat közötti átmenet logikai kontrollja, például az üzenetek szőrésével a kapcsolatot biztosító ("gateway") számítógépnél. (I148) Egyes részek kiesése vagy túlterhelése elleni védelem a hálózat konfigurációja és adminisztrációja révén: redundáns készülékek ( fájlszerverek), dinamikus átkonfigurálás, osztott hálózatvezérlés, önálló részhálózatok, forgalommérések (terhelésfigyelés). (I149) A biztonsági funkciók megbízhatóságát garantáló eszközök bevezetése: biztonsági címkék, biztonsági vonatkozású események detektálása, biztonsági vonatkozású események naplózása, automatikus biztonsági intézkedések. Ebben a csoportban felsorolt intézkedések a következı fenyegetı tényezık hatását mérséklik: (F27), (F28)


(F88), (F89), (F91), (F92)


(F114)-(F137)


320


Az informatikai biztonság irányításának vizsgálata Biztonsági intézkedések a személyek védelmében (I150) Ergonómiailag korrekt munkahelyek kialakítása (például a zajt, a világítást, az ülıhelyeket illetıen). (I151) A motiváció fenntartása. (I152) Olyan munkahelyi szervezet, amely stresszmentes munkavégzést tesz lehetıvé. (I153) Az illetékességek rögzítése különféle szabályok kiadására, aktualizálására, betartásuk ellenırzésére és az érintettek körének kijelölésére vonatkozóan. (I154) Informatikai alapkiképzés valamennyi felhasználó számára. (I155) A felhasználó oktatása, kiképzése. (I156) Szakmai továbbképzés. (I157) A biztonságtudat kialakítása és megtartása. (I158) Egyéni képzések a mindenkori feladatkör szerint. (I159) A jogszabályok, és egyéb érvényes szabályozások ismertetése. (I160) Kezelési utasítások kiadása az informatikai alkalmazásokhoz (például a bevitel formái, paraméterek általi vezérlés, reakciók a hibajelzésekre, a használandó adathordozók, elıírt kezdési és befejezési idıpontok stb.). (I161) A rendszeradminisztrációra vonatkozó elıírások, (például manuális naplóvezetés, felügyeleti feladatok stb.). (I162) Biztonságspecifikus elıírások az alábbiakra: reakció akut biztonsági események gyanúja esetén (például vírusfertızés), a felfedezett káresetek jegyzıkönyvezése, megelızı intézkedések megvalósítása stb. (I163) A személyek és személyek csoportjainak hozzárendelése a számítógépekhez és hálózatokhoz szerepeik alapján. (I164) Távozó (kilépı, más munkakörbe kerülı) személyektıl jogosultságok, jelszavak visszavonása, az általa ismertek megváltoztatása, dokumentumok visszavétele, ismeretei átadásának (utódlásának) megszervezése. Ebben a csoportban felsorolt intézkedések a következı fenyegetı tényezık hatását mérséklik: (F14)-(F25)


(F38)-(F49)



321


322

(F53)-(F56), (F67)-(F70)


(F80)-(F84)


(F87)-(F99)


(F105)-(F112)


(F114)-(F118)

- a kommunikáció területén,

(F138)-(F152)



KÖZIGAZGATÁSI INFORMATIKAI BIZOTTSÁG. 25. számú Ajánlása. Magyar Informatikai Biztonsági Ajánlások (MIBA)

Recommend Documents